vCenter Server 시스템 및 관련 서비스는 vCenter Single Sign-On을 통한 인증 및 vCenter Server 사용 권한 모델을 통한 권한 부여에 의해 보호됩니다. 기본 동작을 수정할 수 있으며 환경에 대한 액세스를 제한하는 단계를 수행할 수 있습니다.
vSphere 환경을 보호할 때 vCenter Server 인스턴스와 관련된 모든 서비스가 보호되어야 한다는 것을 고려하십시오. 일부 환경에서는 여러 vCenter Server 인스턴스를 보호할 수 있습니다.
- vCenter 및 암호화된 통신
- 기본적으로("즉시 사용 가능") vCenter Server와 다른 vSphere 구성 요소 간의 모든 데이터 통신은 암호화됩니다. 때로는 환경을 구성하는 방법에 따라 일부 트래픽이 암호화되지 않을 수 있습니다. 예를 들어 이메일 경고에는 암호화되지 않은 SMTP를 구성하고 모니터링에는 암호화되지 않은 SNMP를 구성할 수 있습니다. DNS 트래픽도 암호화되지 않습니다. vCenter Server는 포트 80(TCP) 및 포트 443(TCP)에서 수신 대기합니다. 포트 443(TCP)은 업계 표준 HTTPS(보안 HTTP) 포트이며 보호를 위해 TLS 1.2 암호화를 사용합니다. 포트 80(TCP)은 업계 표준 HTTP 포트이며 암호화를 사용하지 않습니다. 포트 80의 목적은 포트 80에서 안전한 포트 443으로 요청을 리디렉션하는 것입니다.
- 모든 vCenter 호스트 시스템 강화
- vCenter 환경을 보호하는 첫 번째 단계는 vCenter Server 또는 관련 서비스가 실행되는 각 시스템을 강화하는 것입니다. 물리적 시스템 또는 가상 시스템에 적용되는 고려 사항은 유사합니다. 운영 체제에 항상 최신 보안 패치를 설치하고 업계 표준 모범 사례를 따라 호스트 시스템을 보호합니다.
- vCenter 인증서 모델 학습
- 기본적으로 VMware Certificate Authority는 VMCA 서명이 있는 인증서를 사용하여 각 ESXi 호스트 및 환경의 각 시스템을 프로비저닝합니다. 회사 정책에 필요하면 기본 동작을 변경할 수 있습니다. 자세한 내용은 " vSphere 인증" 설명서를 참조하십시오.
- vCenter Single Sign-On 구성
- vCenter Server 및 관련 서비스는 vCenter Single Sign-On 인증 프레임워크에 의해 보호됩니다. 처음 소프트웨어를 설치할 때 vCenter Single Sign-On 도메인(기본적으로 [email protected]) 관리자의 암호를 지정합니다. 해당 도메인만 처음에 ID 소스로 사용할 수 있습니다. 페더레이션 인증을 위해 Microsoft AD FS(Active Directory Federation Services)와 같은 외부 ID 제공자를 추가할 수 있습니다. Active Directory 또는 LDAP를 사용하는 다른 ID 소스를 추가하고 기본 ID 소스를 설정할 수 있습니다. 이러한 ID 소스 중 하나에 인증할 수 있는 사용자는 권한이 부여된 경우 개체를 보고 작업을 수행할 수 있습니다. 자세한 내용은 " vSphere 인증" 설명서를 참조하십시오.
- 명명된 사용자 또는 그룹에 역할 할당
- 로깅을 향상시키기 위해 개체에 제공하는 각 사용 권한을 명명된 사용자 또는 그룹 및 사전 정의된 역할 또는 사용자 지정 역할과 연결합니다. vSphere 사용 권한 모델은 사용자 또는 그룹을 인증하는 다양한 방법을 통해 뛰어난 유연성을 제공합니다. vSphere의 권한 부여 이해 및 일반 작업에 필요한 권한 항목을 참조하십시오.
- PTP 또는 NTP 설정
- 환경의 각 노드에 대해 PTP 또는 NTP를 설정합니다. 인증서 인프라는 정확한 타임 스탬프가 필요하며 노드가 동기화되지 않은 경우 제대로 작동하지 않습니다.
