다양한 vCenter Server 구성 요소에 대한 액세스를 엄격하게 제어하여 시스템의 보안을 향상시킵니다.
다음 지침은 환경의 보안을 강화하는 데 도움이 됩니다.
명명된 계정 사용
- 로컬 Windows 관리자 계정에 현재 관리자 역할 vCenter Server가 있는 경우 해당 역할을 제거하고 역할을 하나 이상의 명명된 vCenter Server 관리자 계정에 할당합니다. 관리자 역할은 필요한 관리자에게만 부여합니다. 사용자 지정 역할을 생성하거나 보다 제한된 권한이 있는 관리자에 대해 암호화 관리자 없음 역할을 사용할 수 있습니다. 멤버 자격이 엄격히 제어되지 않는 그룹에는 이 역할을 적용하지 마십시오.
참고: vSphere 6.0부터 로컬 관리자는 더 이상 기본적으로 vCenter Server에 대한 전체 관리 권한이 없습니다.
- Windows 계정 대신 서비스 계정을 사용하여 vCenter Server를 설치합니다. 서비스 계정은 로컬 시스템의 관리자여야 합니다.
- vCenter Server 시스템에 연결할 때 애플리케이션이 고유한 서비스 계정을 사용해야 합니다.
vCenter Server 관리자의 권한 모니터링
모든 관리자에게 관리자 역할이 있어야 하는 것은 아닙니다. 대신 적절한 권한 집합이 있는 사용자 지정 역할을 생성하고 이를 다른 관리자에게 할당합니다.
vCenter Server 관리자 역할이 있는 사용자는 계층의 모든 개체에 대한 권한이 있습니다. 예를 들어 기본적으로 관리자 역할이 있는 사용자는 가상 시스템의 게스트 운영 체제 내에서 파일 및 프로그램과 상호 작용할 수 있습니다. 이러한 역할을 너무 많은 사용자에게 할당하면 가상 시스템 데이터 기밀성, 가용성 또는 무결성이 줄어들 수 있습니다. 관리자에게 필요한 권한을 부여하는 역할을 생성하되 가상 시스템 관리 권한의 일부를 제거합니다.
액세스 최소화
사용자가 vCenter Server 호스트 시스템에 직접 로그인하도록 허용하지 마십시오. vCenter Server 호스트 시스템에 로그인된 사용자는 설정을 변경하고 프로세스를 수정하여 의도적이든 의도적이지 않든 피해를 끼칠 수 있습니다. 해당 사용자는 또한 SSL 인증서와 같은 vCenter 자격 증명에 액세스할 수도 있습니다. 수행할 정당한 작업이 있는 사용자만 시스템에 로그인할 수 있도록 하고 로그인 이벤트가 감사되도록 합니다.
vCenter Server 데이터베이스 사용자에게 최소 권한 부여
데이터베이스 사용자에게는 데이터베이스 액세스와 관련된 일부 권한만 필요합니다.
일부 권한은 설치 및 업그레이드의 경우에만 필요합니다. vCenter Server가 설치되거나 업그레이드된 후 데이터베이스 관리자에서 이러한 권한을 제거할 수 있습니다.
데이터스토어 브라우저 액세스 제한
vSphere Client를 통해 vSphere 배포와 연결된 데이터스토어에서 파일을 보거나 업로드하거나 다운로드할 수 있습니다.
권한은 해당 권한이 실제로 필요한 사용자 또는 그룹에만 할당합니다. 해당 권한이 있는 사용자는 웹 브라우저 또는가상 시스템에서 사용자의 명령 실행 제한
기본적으로 vCenter Server 관리자 역할이 할당된 사용자는 가상 시스템의 게스트 운영 체제 내에서 파일 및 프로그램과 상호 작용할 수 있습니다. 게스트 기밀성, 가용성 또는 무결성이 침해될 위험을 줄이려면 게스트 작업 권한이 없는 게스트가 아닌 사용자 지정 액세스 역할을 생성해야 합니다. 사용자가 가상 시스템 내에서 명령을 실행하지 못하도록 제한의 내용을 참조하십시오.
vpxuser에 대한 암호 정책 수정 고려
vCenter Server 다시 시작 후 권한 확인
vCenter Server를 다시 시작할 때는 권한 재할당을 확인합니다. 루트 폴더에 대해 관리자 역할이 있는 사용자 또는 그룹이 다시 시작 동안 검증될 수 없는 경우 역할이 해당 사용자 또는 그룹에서 제거됩니다. 대신 vCenter Server는 관리자 역할을 기본적으로 vCenter Single Sign-On 관리자 [email protected]에 부여합니다 그러면 이 계정은 vCenter Server 관리자 역할을 수행합니다.
명명된 관리자 계정을 다시 설정하고 관리자 역할을 해당 계정에 할당하여 익명 vCenter Single Sign-On 관리자 계정(기본적으로 [email protected]) 사용을 방지합니다.
높은 수준의 RDP 암호화 사용
인프라의 각 Windows 컴퓨터에서 원격 데스크톱 호스트 구성 설정이 환경에 적합한 최고 수준의 암호화를 보장하도록 설정되었는지 확인합니다.
vSphere Client 인증서 확인
vSphere Client 또는 다른 클라이언트 애플리케이션 사용자가 인증서 확인 경고에 주의를 기울이도록 지시합니다. 인증서가 확인되지 않으면 사용자가 MiTM 공격의 대상이 될 수 있습니다.