다양한 vCenter Server 구성 요소에 대한 액세스를 엄격하게 제어하여 시스템의 보안을 향상시킵니다.
다음 지침은 환경의 보안을 강화하는 데 도움이 됩니다.
명명된 계정을 사용하여 vCenter Server에 액세스
- 관리자 역할은 필요한 관리자에게만 부여합니다. 사용자 지정 역할을 생성하거나 보다 제한된 권한이 있는 관리자에 대해 암호화 관리자 없음 역할을 사용할 수 있습니다. 멤버 자격이 엄격히 제어되지 않는 그룹에는 이 역할을 적용하지 마십시오.
- vCenter Server 시스템에 연결할 때 애플리케이션이 고유한 서비스 계정을 사용해야 합니다.
vCenter Server 관리자의 권한 모니터링
모든 관리자에게 관리자 역할이 있어야 하는 것은 아닙니다. 대신 적절한 권한 집합이 있는 사용자 지정 역할을 생성하고 이를 다른 관리자에게 할당합니다.
vCenter Server 관리자 역할이 있는 사용자는 계층의 모든 개체에 대한 권한이 있습니다. 예를 들어 기본적으로 관리자 역할이 있는 사용자는 가상 시스템의 게스트 운영 체제 내에서 파일 및 프로그램과 상호 작용할 수 있습니다. 이러한 역할을 너무 많은 사용자에게 할당하면 가상 시스템 데이터 기밀성, 가용성 또는 무결성이 줄어들 수 있습니다. 관리자에게 필요한 권한을 부여하는 역할을 생성하되 가상 시스템 관리 권한의 일부를 제거합니다. 권한 레코더도 참조하십시오.
vCenter Server Appliance에 대한 액세스 최소화
사용자가 vCenter Server Appliance에 직접 로그인하도록 허용하지 마십시오. vCenter Server Appliance에 로그인된 사용자는 설정을 변경하고 프로세스를 수정하여 의도적이든 의도적이지 않든 피해를 끼칠 수 있습니다. 이러한 사용자는 SSL 인증서와 같은 vCenter Server 자격 증명에 액세스할 수도 있습니다. 수행할 정당한 작업이 있는 사용자만 시스템에 로그인할 수 있도록 하고 로그인 이벤트가 감사되도록 합니다.
데이터베이스 사용자에게 최소 권한 부여
데이터베이스 사용자에게는 데이터베이스 액세스와 관련된 일부 권한만 필요합니다.
일부 권한은 설치 및 업그레이드의 경우에만 필요합니다. vCenter Server가 설치되거나 업그레이드된 후 데이터베이스 관리자에서 이러한 권한을 제거할 수 있습니다.
데이터스토어 브라우저 액세스 제한
vSphere Client를 통해 vSphere 배포와 연결된 데이터스토어에서 파일을 보거나 업로드하거나 다운로드할 수 있습니다.
권한은 해당 권한이 실제로 필요한 사용자 또는 그룹에만 할당합니다. 해당 권한이 있는 사용자는 웹 브라우저 또는가상 시스템에서 사용자의 명령 실행 제한
기본적으로 관리자 역할이 있는 사용자는 가상 시스템 내에서 게스트 운영 체제의 파일 및 프로그램과 상호 작용할 수 있습니다. 게스트 기밀성, 가용성 또는 무결성이 침해될 위험을 줄이려면 사용자가 가상 시스템 내에서 명령을 실행하지 못하도록 제한의 내용을 참조하십시오.
권한이 없는 게스트가 아닌 사용자 지정 액세스 역할을 생성해야 합니다.vpxuser에 대한 암호 정책 수정 고려
vCenter Server 다시 시작 후 권한 확인
vCenter Server를 다시 시작할 때는 권한 재할당을 확인합니다. 루트 폴더에 대해 관리자 역할이 있는 사용자 또는 그룹이 다시 시작 동안 검증될 수 없는 경우 역할이 해당 사용자 또는 그룹에서 제거됩니다. 대신 vCenter Server는 관리자 역할을 기본적으로 vCenter Single Sign-On 관리자 [email protected]에 부여합니다 그러면 이 계정은 vCenter Server 관리자 역할을 수행합니다.
명명된 관리자 계정을 다시 설정하고 관리자 역할을 해당 계정에 할당하여 익명 vCenter Single Sign-On 관리자 계정(기본적으로 [email protected]) 사용을 방지합니다.
원격 데스크톱 프로토콜에 높은 암호화 수준 사용
인프라의 각 Windows 컴퓨터에서 RDP(원격 데스크톱 프로토콜) 호스트 구성 설정이 환경에 적합한 최고 수준의 암호화를 보장하도록 설정되었는지 확인합니다.
vSphere Client 인증서 확인
vSphere Client 또는 다른 클라이언트 애플리케이션 사용자가 인증서 확인 경고에 주의를 기울이도록 지시합니다. 인증서가 확인되지 않으면 사용자가 MiTM 공격의 대상이 될 수 있습니다.
vCenter Server 암호 정책 설정
기본적으로 vCenter Server는 30일마다 자동으로 vpxuser 암호를 변경합니다. vSphere Client에서 해당 값을 변경할 수 있습니다.
프로시저
- vSphere Client를 사용하여 vCenter Server 시스템에 로그인합니다.
- 개체 계층에서 vCenter Server 시스템을 선택합니다.
- 구성을 클릭합니다.
- 고급 설정을 클릭하고 설정 편집을 클릭합니다.
- 필터 아이콘을 클릭하고 VimPasswordExpirationInDays를 입력합니다.
- 요구 사항에 맞게 VirtualCenter.VimPasswordExpirationInDays를 설정합니다.
실패한 설치에서 만료되거나 해지된 인증서 및 로그 제거
vCenter Server 시스템에 만료되거나 해지된 인증서를 그대로 두거나, 설치에 실패한 vCenter Server 설치 로그를 그대로 두면 사용 환경의 성능이 저하될 수 있습니다.
만료되거나 해지된 인증서를 vCenter Server 시스템에서 제거하지 않으면 환경이 MiTM 공격의 대상이 될 수 있습니다.
- vCenter Server 설치에 실패하면 일반 텍스트의 데이터베이스 암호가 포함된 로그 파일이 시스템에 생성되는 경우도 있습니다. vCenter Server 시스템에 침입하는 공격자는 이 암호에 액세스하는 동시에 vCenter Server 데이터베이스에 액세스할 수 있습니다.