보안을 강화하기 위해 vCenter Server 시스템을 관리 네트워크가 아닌 다른 네트워크에 배치해서는 안 되며, vSphere 관리 트래픽이 제한된 네트워크에 있어야 합니다. 네트워크 연결을 제한하면 특정 유형의 공격을 제한할 수 있습니다.

vCenter Server에는 관리 네트워크에 대한 액세스만 필요합니다. vCenter Server 시스템을 운영 네트워크, 스토리지 네트워크 등의 다른 네트워크 또는 인터넷에 대한 액세스 권한이 있는 네트워크에 배치하지 마십시오. vCenter Server는 vMotion이 작동하는 네트워크에 액세스할 필요가 없습니다.

vCenter Server에는 다음 시스템에 대한 네트워크 연결이 필요합니다.
  • 모든 ESXi 호스트
  • vCenter Server 데이터베이스
  • 기타 vCenter Server 시스템(vCenter Server 시스템이 태그, 사용 권한 등의 복제를 위한 공통 vCenter Single Sign-On 도메인의 일부인 경우).
  • 관리 클라이언트 실행 권한이 부여된 시스템. 예를 들어 PowerCLI 또는 다른 모든 SDK 기반 클라이언트를 사용하는 Windows 시스템인 vSphere Client가 있습니다.
  • DNS, Active Directory 및 PTP 또는 NTP와 같은 인프라 서비스
  • vCenter Server 시스템의 기능에 필수적인 구성 요소를 실행하는 기타 시스템

vCenter Server에서 방화벽을 사용합니다. 필요한 구성 요소만 vCenter Server 시스템과 통신할 수 있도록 IP 기반 액세스 제한을 포함합니다.

CLI 및 SDK와 함께 Linux 클라이언트 사용 평가

클라이언트 구성 요소와 vCenter Server 시스템 또는 ESXi 호스트 간의 통신은 기본적으로 SSL 기반 암호화를 통해 보호됩니다. Linux 버전의 이러한 구성 요소는 인증서 검증을 수행하지 않습니다. 이러한 클라이언트 사용 제한을 고려하십시오.

보안을 강화하려면 ESXi 시스템 및 vCenter Server 호스트의 VMCA 서명된 인증서를 엔터프라이즈 또는 타사 CA에서 서명된 인증서로 교체할 수 있습니다. 그러나 Linux 클라이언트와의 특정 통신이 계속해서 메시지 가로채기(machine-in-the-middle) 공격에 취약할 수 있습니다. 다음 구성 요소는 Linux 운영 체제에서 실행될 때 취약성이 드러납니다.
  • ESXCLI 명령
  • Perl용 vSphere SDK 스크립트
  • vSphere Web Services SDK를 사용하여 작성한 프로그램
적절한 제어를 적용하는 경우 Linux 클라이언트에 대한 제한을 다소 완화할 수 있습니다.
  • 인증된 시스템만 관리 네트워크에 액세스할 수 있도록 제한합니다.
  • 방화벽을 사용하여 인증된 호스트만 vCenter Server에 액세스하도록 허용합니다.
  • 배스천 호스트(점프 박스 시스템)를 사용하여 Linux 클라이언트를 "점프" 뒤에 배치합니다.

vSphere Client 플러그인 검사

vSphere Client 확장은 로그인한 사용자와 동일한 권한 수준에서 실행됩니다. 따라서 악성 확장이 유용한 플러그인으로 가장하고 자격 증명을 도용하거나 시스템 구성을 변경하는 등의 유해한 작업을 수행할 수 있습니다. 보안을 강화하려면 신뢰할 수 있는 소스의 인증된 확장만 포함하는 설치를 사용하십시오.

vCenter Server 설치에는 vSphere Client에 대한 확장성 프레임워크가 포함됩니다. 이 프레임워크를 사용하여 메뉴 선택이나 도구 모음 아이콘을 통해 클라이언트를 확장할 수 있습니다. 확장을 통해 vCenter Server 추가 기능 구성 요소 또는 외부 웹 기반 기능에 액세스할 수 있습니다.

확장성 프레임워크를 사용하면 의도하지 않는 기능이 도입될 위험이 있습니다. 예를 들어 관리자가 vSphere Client의 인스턴스에 플러그인을 설치하면 이 플러그인은 해당 관리자의 권한 수준으로 임의의 명령을 실행할 수 있습니다.

vSphere Client의 잠재적인 손상을 방지하려면 설치된 모든 플러그인을 정기적으로 검사하고 모든 플러그인이 신뢰할 수 있는 소스에서 전송되었는지 확인해야 합니다.

사전 요구 사항

vCenter Single Sign-On 서비스에 액세스할 수 있는 권한이 있어야 합니다. 이러한 권한은 vCenter Server 권한과는 다릅니다.

프로시저

  1. administrator@vsphere.local 또는 vCenter Single Sign-On 권한을 보유한 사용자로 vSphere Client에 로그인합니다.
  2. 홈 페이지에서 관리를 선택한 다음 솔루션 아래에서 클라이언트 플러그인을 선택합니다.
  3. 클라이언트 플러그인 목록을 검토합니다.