vCenter Single Sign-On을 통한 인증 및 vCenter Server 사용 권한 모델을 통한 권한 부여는 vCenter Server 시스템 및 관련 서비스를 보호합니다. 기본 동작을 수정할 수 있으며 환경에 대한 액세스를 제한하는 단계를 수행할 수 있습니다.
vSphere 환경을 보호할 때 vCenter Server 인스턴스와 관련된 모든 서비스가 보호되어야 한다는 것을 고려하십시오. 일부 환경에서는 여러 vCenter Server 인스턴스를 보호할 수 있습니다.
vCenter Server에서 암호화된 통신 사용
기본적으로("즉시 사용 가능") vCenter Server 시스템과 다른 vSphere 구성 요소 간의 모든 데이터 통신은 암호화됩니다. 때로는 환경을 구성하는 방법에 따라 일부 트래픽이 암호화되지 않을 수 있습니다. 예를 들어 이메일 경고에는 암호화되지 않은 SMTP를 구성하고 모니터링에는 암호화되지 않은 SNMP를 구성할 수 있습니다. DNS 트래픽도 암호화되지 않습니다. vCenter Server는 포트 80(TCP) 및 포트 443(TCP)에서 수신 대기합니다. 포트 443(TCP)은 업계 표준 HTTPS(보안 HTTP) 포트이며 보호를 위해 TLS 암호화를 사용합니다. vSphere TLS 구성의 내용을 참조하십시오. 포트 80(TCP)은 업계 표준 HTTP 포트이며 암호화를 사용하지 않습니다. 포트 80의 목적은 포트 80에서 안전한 포트 443으로 요청을 리디렉션하는 것입니다.
vCenter Server 시스템 강화
vCenter Server 환경을 보호하는 첫 번째 단계는 vCenter Server 또는 관련 서비스가 실행되는 각 시스템을 강화하는 것입니다. 물리적 시스템 또는 가상 시스템에 적용되는 고려 사항은 유사합니다. 운영 체제에 항상 최신 보안 패치를 설치하고 업계 표준 모범 사례를 따라 호스트 시스템을 보호합니다.
vSphere 인증서 모델에 대해 알아보기
기본적으로 VMCA(VMware Certificate Authority)는 VMCA 서명이 있는 인증서를 사용하여 각 ESXi 호스트 및 환경의 각 시스템을 프로비저닝합니다. 회사 정책에 필요하면 기본 동작을 변경할 수 있습니다. 자세한 내용은 "vSphere 인증" 설명서를 참조하십시오.
추가로 보호하려면 만료되거나 해지된 인증서 및 실패한 설치를 명시적으로 제거합니다.
vCenter Single Sign-On 구성
vCenter Server 및 관련 서비스는 vCenter Single Sign-On 인증 프레임워크에 의해 보호됩니다. 처음 소프트웨어를 설치할 때 vCenter Single Sign-On 도메인(기본적으로 [email protected]) 관리자의 암호를 지정합니다. 해당 도메인만 처음에 ID 소스로 사용할 수 있습니다. 페더레이션 인증을 위해 Microsoft AD FS(Active Directory Federation Services)와 같은 외부 ID 제공자를 추가할 수 있습니다. Active Directory 또는 LDAP를 사용하는 다른 ID 소스를 추가하고 기본 ID 소스를 설정할 수 있습니다. 이러한 ID 소스 중 하나에 인증할 수 있는 사용자는 권한이 부여된 경우 개체를 보고 작업을 수행할 수 있습니다. 자세한 내용은 "vSphere 인증" 설명서를 참조하십시오.
명명된 사용자 또는 그룹에 vCenter Server 역할 할당
로깅을 향상시키기 위해 개체에 제공하는 각 사용 권한을 명명된 사용자 또는 그룹 및 사전 정의된 역할 또는 사용자 지정 역할과 연결합니다. vSphere 사용 권한 모델은 사용자 또는 그룹을 인증하는 다양한 방법을 통해 뛰어난 유연성을 제공합니다. vSphere의 권한 부여 이해 및 일반 작업에 필요한 vCenter Server 권한 항목을 참조하십시오.
관리자 권한 및 관리자 역할의 사용을 제한하십시오. 가능한 경우 익명의 관리자 사용자를 사용하지 마십시오.
정밀 시간 프로토콜 또는 네트워크 시간 프로토콜 설정
사용자 환경의 각 노드에 대해 PTP(정밀 시간 프로토콜) 또는 NTP(네트워크 시간 프로토콜)를 설정합니다. vSphere 인증서 인프라는 정확한 타임스탬프가 필요하며 노드가 동기화되지 않은 경우 제대로 작동하지 않습니다.
vSphere 네트워크에서 클럭 동기화의 내용을 참조하십시오.