이러한 보안 제어는 vCenter Server 보안 모범 사례의 기준선 집합을 제공합니다. 제어 구현의 이점과 단점을 설명하는 방식으로 구성됩니다. 변경하려면 제어에 따라 vSphere Client, PowerCLI 또는 vCenter Server 관리 인터페이스를 사용할 수 있습니다.
사용된 PowerCLI 및 변수
여기에 사용된 일부 PowerCLI 예제에서는 VMware.vSphere.SsoAdmin 모듈을 설치해야 합니다.
이 섹션의 PowerCLI 명령은 다음 변수를 사용합니다.
- $VC="vcenter_server_name"
- $VDS="vsphere_distributed_switch_name"
- $VDPG="vsphere_distributed_port_group"
vSphere Client 비활성 시간 초과 설정
vCenter Server는 15분 동안 비활성 상태이면 vSphere Client 세션을 종료해야 합니다.
사용자가 로그아웃하는 것을 잊어버린 경우 유휴 vSphere Client 세션이 무기한 열려 있을 수 있으므로 무단 액세스의 위험이 높아집니다.
실패한 로그인 시도 간격 설정
vCenter Server는 실패한 로그인 시도 횟수를 계산하는 간격을 최소 15분으로 설정해야 합니다.
실패한 로그인 시도 횟수를 제한함으로써 무차별 암호 대입이라고도 알려진 사용자 암호 추측을 통한 무단 액세스 위험이 줄어듭니다.
vSphere SSO 잠금 정책 최대 시도 횟수 구성
vCenter Server는 지정된 수의 실패한 로그인 시도 후에 계정을 잠가야 합니다.
계정에 대한 로그인이 반복적으로 실패하면 보안 문제가 발생할 수 있습니다. 무차별 암호 대입 시도를 제한하려면 특정 임계값 이후에 계정을 잠그고 자동 연결 재시도 방지와 잠재적인 서비스 거부 공격 간의 균형을 유지해야 합니다.
vSphere SSO 잠금 정책 잠금 해제 시간 구성
vCenter Server는 지정된 시간 초과 기간 후에 계정의 잠금을 해제해야 합니다.
반복적인 로그인 실패는 보안 위협을 암시할 수 있습니다. vCenter Server 계정이 여러 로그인 실패로 인해 잠겼을 때 자동으로 잠금 해제하면 안 됩니다. [email protected] 정보가 있고 유효한지 확인해야 합니다.
- 값
- 설치 기본값: 300
- 권장 작업
- 설치 기본값을 수정합니다.
- 기본값이 변경되는 경우 기능에 대한 잠재적 영향
- 계정이 자동으로 잠금 해제되지 않으면 서비스 거부가 발생할 수 있습니다.
- vSphere Client에서의 설정 위치
암호 복잡성 적용
vCenter Server는 암호 복잡성을 적용해야 합니다.
암호에 대한 최신 모범 사례(NIST 800-63B섹션5.1.1.2 참조)에 따르면, 적절한 암호 엔트로피에서는 사용자가 특정 간격으로 암호를 변경하도록 임의로 요구하여 보안이 개선되지 않음을 나타냅니다. 많은 자동화된 보안 도구 및 규정 준수 프레임워크는 이 지침을 반영하지 않으며 이 권장 사항을 무시할 수 있습니다.
암호 강도 및 복잡성 규칙은 [email protected](또는 설치 중에 다른 도메인을 지정한 경우 administrator@mydomain)을 포함하여 vSphere SSO에서 생성된 계정에 적용됩니다. AD는 해당 암호 정책을 시행하므로 vCenter Server이 도메인에 가입할 때 이러한 규칙은 Active Directory 사용자에게 적용되지 않습니다.
- 값
-
설치 기본값:
최대 길이: 20
최소 길이: 8
1개 이상의 특수 문자
2개 이상의 영문자
1개 이상의 대문자
1개 이상의 소문자
1개 이상의 숫자
3개의 인접한 동일 문자
- 권장 작업
- 설치 기본값을 수정합니다.
- 기본값이 변경되는 경우 기능에 대한 잠재적 영향
- VMware 에코시스템 내의 다른 제품 및 서비스는 암호 복잡성 요구 사항의 변경을 예상하지 못해 설치에 실패할 수 있습니다.
- PowerCLI 명령 업데이트 적용 예
-
Get-SsoPasswordPolicy | Set-SsoPasswordPolicy -MinLength 15 -MaxLength 64 -MinNumericCount 1 -MinSpecialCharCount 1 -MinAlphabeticCount 2 -MinUppercaseCount 1 -MinLowercaseCount 1 -MaxIdenticalAdjacentCharacters 3
- vSphere Client에서의 설정 위치
암호 변경 간격의 최대 일수 구성
적절한 최대 암호 사용 기간으로 vCenter Server를 구성해야 합니다.
암호에 대한 최신 모범 사례(NIST 800-63B섹션5.1.1.2 참조)에 따르면, 적절한 암호 엔트로피에서는 사용자가 특정 간격으로 암호를 변경하도록 임의로 요구하여 보안이 개선되지 않음을 나타냅니다. 많은 자동화된 보안 도구 및 규정 준수 프레임워크는 이 지침을 반영하지 않으며 이 권장 사항을 무시할 수 있습니다.
암호 재사용 제한
vCenter Server에서 암호 재사용을 제한하도록 암호 기록 설정을 구성합니다.
암호 복잡성 지침으로 인해 사용자가 이전 암호를 재사용하는 경우가 있습니다. vCenter Server에서 암호 기록 설정을 구성하면 이러한 상황을 방지하는 데 도움이 될 수 있습니다.
SSH 액세스를 위한 로그인 배너 텍스트 구성
SSH를 사용하여 액세스할 수 있도록 vCenter Server 로그인 배너 텍스트를 구성합니다.
vCenter Server는 침입자를 방지하고 승인된 사용자에게 의무 사항을 전달하는 로그인 메시지를 허용합니다. 이 구성은 클라이언트가 SSH를 사용하여 연결할 때 표시되는 텍스트를 설정합니다. 기본 텍스트는 시스템 구성에 대한 정보를 공격자에게 유출하므로 변경해야 합니다.
- PowerCLI 명령 업데이트 적용 예
-
Get-AdvancedSetting -Entity $VC -Name etc.issue | Set-AdvancedSetting -Value "Authorized users only. Actual or attempted unauthorized use of this system is prohibited and may result in criminal, civil, security, or administrative proceedings and/or penalties. Use of this information system indicates consent to monitoring and recording, without notice or permission. Users have no expectation of privacy in any use of this system. Any information stored on, or transiting this system, or obtained by monitoring and/or recording, may be disclosed to law enforcement and/or used in accordance with Federal law, State statute, and organization policy. If you are not an authorized user of this system, exit the system at this time."
작업 및 보존 간격 설정
vCenter Server는 작업 및 이벤트 보존이 적절한 간격으로 설정되어 있어야 합니다.
vCenter Server는 작업 및 이벤트 데이터를 유지하며, 스토리지 공간을 절약하기 위해 오래 되면 제거됩니다. 기간은 구성할 수 있습니다. 이는 vCenter Server Appliance의 이벤트 데이터 로컬 스토리지에만 영향을 미칩니다.
원격 로깅 활성화
vCenter Server 이벤트의 원격 로깅을 활성화합니다.
중앙 호스트에 대한 원격 로깅은 로그를 안전하게 저장하여 vCenter Server의 보안을 강화합니다. 원격 로깅은 호스트 전체의 모니터링을 단순화하고 조정된 공격을 탐지하기 위한 집계 분석을 지원합니다. 중앙 집중식 로깅은 변조를 방지하고 신뢰할 수 있는 장기 감사 기록 역할을 합니다. vpxd.event.syslog.enabled 설정은 원격 로깅을 활성화합니다.
FIPS 활성화
vCenter Server는 FIPS 검증 암호화를 활성화해야 합니다.
FIPS 암호화는 취약한 암호를 제거하기 위해 시스템을 여러 차례 변경합니다. FIPS를 활성화하면 vCenter Server가 다시 시작됩니다.
- 기본값이 변경되는 경우 기능에 대한 잠재적 영향
- FIPS 암호화는 취약한 암호를 제거하기 위해 시스템을 여러 차례 변경합니다. FIPS를 사용하도록 설정하면 vCenter Server가 다시 시작됩니다.
- PowerCLI 명령 업데이트 적용 예
-
$spec = Initialize-SystemSecurityGlobalFipsUpdateSpec -Enabled $true Invoke-SetSystemGlobalFips -SystemSecurityGlobalFipsUpdateSpec $spec
- vSphere Client에서의 설정 위치
- vCenter Server Appliance에서 FIPS 활성화 및 비활성화의 내용을 참조하십시오.
감사 레코드 구성
vCenter Server는 어떤 유형의 이벤트가 발생했는지 확인하는 정보가 포함된 감사 레코드를 생성해야 합니다.
진단 및 법적 조사 목적으로 감사 로그에 충분한 정보가 있는지 확인하는 것이 중요합니다. config.log.level 설정은 감사 레코드를 구성합니다.
MAC 학습 비활성화
모든 분산 스위치 포트 그룹은 의도적으로 사용하지 않는 한 MAC 학습을 비활성화해야 합니다.
MAC 학습을 사용하면 분산 스위치가 vNIC에서 둘 이상의 MAC 주소가 사용되는 시스템에 네트워크 연결을 제공할 수 있습니다. 이는 중첩된 가상화(예: ESXi 내에서 ESXi 실행)와 같은 특수한 경우에 유용할 수 있습니다. MAC 학습은 알 수 없는 유니캐스트 플러딩도 지원합니다. 일반적으로 포트에서 수신한 패킷에 알 수 없는 대상 MAC 주소가 있으면 패킷이 삭제됩니다. 알 수 없는 유니캐스트 플러딩이 사용되도록 설정되면 포트는 MAC 학습 및 알 수 없는 유니캐스트 플러딩이 사용되도록 설정된 스위치의 모든 포트에 알 수 없는 유니캐스트 트래픽을 플러딩합니다. 이 속성은 MAC 학습이 사용되도록 설정된 경우에만 기본적으로 활성화됩니다. MAC 학습이 필요한 알려진 워크로드에 의도적으로 사용되지 않는 한 MAC 학습을 비활성화합니다.
- PowerCLI 명령 평가
-
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy | Select-Object -ExpandProperty Enabled
- PowerCLI 명령 업데이트 적용 예
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.DefaultPortConfig.MacManagementPolicy = New-Object VMware.Vim.DVSMacManagementPolicy $ConfigSpec.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy = New-Object VMware.Vim.DVSMacLearningPolicy $ConfigSpec.DefaultPortConfig.MacManagementPolicy.MacLearningPolicy.Enabled = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
로그인 메시지 배너 세부 정보 구성
vSphere Client에 대한 vCenter Server 로그인 배너 세부 정보를 구성합니다.
vCenter Server는 로그인 메시지를 표시하는 기능을 제공합니다. 로그인 메시지의 사용에는 침입자에게 자신의 활동이 불법임을 알리고, 승인된 사용자에게 시스템을 사용하는 동안 충족하고 동의해야 하는 기대와 의무를 전달하는 것이 포함됩니다. 이 구성은 vSphere Client 로그인 페이지 메시지의 자세한 텍스트를 설정합니다.
- PowerCLI 명령 평가
-
해당 없음(사용 가능한 공용 API 없음)
장치 셸에서 다음 명령을 실행하여 로그인 메시지를 구성할 수 있습니다.
/opt/vmware/bin/sso-config.sh -set_login_banner -title login_banner_title logonBannerFile
완료되면 셸을 다시 비활성화해야 합니다.
로그인 배너 활성화
vSphere Client에 대한 vCenter Server 로그인 배너를 활성화합니다.
vCenter Server는 로그인 메시지를 표시하는 기능을 제공합니다. 로그인 메시지의 사용에는 침입자에게 자신의 활동이 불법임을 알리고, 승인된 사용자에게 시스템을 사용하는 동안 충족하고 동의해야 하는 기대와 의무를 전달하는 것이 포함됩니다. 이 구성은 vSphere Client 로그인 페이지에 메시지 표시를 활성화합니다.
- PowerCLI 명령 평가
-
해당 없음(사용 가능한 공용 API 없음)
장치 셸에서 다음 명령을 실행하여 로그인 메시지를 구성할 수 있습니다.
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
완료되면 셸을 다시 비활성화해야 합니다.
로그인 배너 텍스트 구성
vSphere Client에 대한 vCenter Server 로그인 배너 텍스트를 구성합니다.
vCenter Server는 로그인 메시지를 표시하는 기능을 제공합니다. 로그인 메시지의 사용에는 침입자에게 자신의 활동이 불법임을 알리고, 승인된 사용자에게 시스템을 사용하는 동안 충족하고 동의해야 하는 기대와 의무를 전달하는 것이 포함됩니다. 이 구성은 vSphere Client 로그인 페이지에 표시되는 텍스트를 설정합니다.
- PowerCLI 명령 평가
-
해당 없음(사용 가능한 공용 API 없음)
장치 셸에서 다음 명령을 실행하여 로그인 메시지를 구성할 수 있습니다.
/opt/vmware/bin/sso-config.sh -set_logon_banner -title logon_banner_title logonBannerFile
완료되면 셸을 다시 비활성화해야 합니다.
관리자에 대한 인증 및 권한 부여 분리
vCenter Server는 관리자에 대한 인증 및 권한 부여를 분리해야 합니다.
Active Directory 등의 서비스와 같이 인증과 권한 부여를 결합하면 인프라가 손상될 위험이 있습니다. 따라서 vCenter Server의 경우 관리자에 대한 인증 및 권한 부여를 분리해야 합니다. 가능한 경우 위험을 더 잘 관리하려면 권한 부여를 위해 로컬 SSO 그룹을 사용하는 것이 좋습니다.
위조 전송 정책을 거부로 설정
위조 전송을 거부하도록 모든 분산 스위치와 해당 포트 그룹을 설정합니다.
가상 시스템은 MAC 주소를 변경하여 네트워크 어댑터를 가장하는 방식으로 보안 위협을 일으킬 수 있습니다. 모든 분산 스위치 및 포트 그룹에서 위조된 전송 옵션을 거부로 설정하면 ESXi는 MAC 주소를 확인하고 이러한 가장을 방지합니다.
- PowerCLI 명령 평가
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
MAC 주소 변경 정책을 거부로 설정
MAC 주소 변경 정책을 vSphere 표준 스위치와 해당 포트 그룹 모두에서 거부로 설정합니다.
가상 시스템이 MAC 주소를 변경하도록 허용하면 보안 위험이 발생하여 네트워크 어댑터 가장이 발생할 가능성이 있습니다. 모든 분산 스위치 및 포트 그룹에서 MAC 변경 사항을 거부하면 이를 방지할 수 있지만 Microsoft Clustering 또는 MAC 주소 종속 라이센싱과 같은 특정 애플리케이션에 영향을 미칠 수 있습니다. 필요에 따라 이 보안 지침에 예외를 적용합니다.
- PowerCLI 명령 평가
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
무차별 모드 정책을 거부로 설정
무차별 모드 정책을 vSphere 표준 스위치와 해당 포트 그룹 모두에서 거부로 설정합니다.
포트 그룹에서 무차별 모드를 활성화하면 연결된 모든 가상 시스템이 모든 네트워크 패킷을 읽을 수 있으므로 잠재적인 보안 위험이 발생할 수 있습니다. 디버깅이나 모니터링을 위해 무차별 모드를 허용해야 하는 경우도 있지만 기본 설정인 거부를 권장합니다. 필요에 따라 특정 포트 그룹에 예외를 적용합니다.
- PowerCLI 명령 평가
-
Get-VDSwitch -Name $VDS | Get-VDSecurityPolicy Get-VDPortgroup -Name $VDPG | Get-VDSecurityPolicy
가상 시스템의 연결이 끊길 때 포트 구성 재설정
가상 시스템의 연결이 끊어지면 vCenter Server가 포트 구성을 재설정해야 합니다.
가상 시스템과 가상 스위치 포트의 연결이 끊어지면 연결하는 다른 가상 시스템에 알려진 상태의 포트가 있도록 포트 구성을 재설정하는 것이 좋습니다.
- PowerCLI 명령 평가
-
(Get-VDPortgroup -Name $VDPG).ExtensionData.Config.Policy | Select-Object -ExpandProperty PortConfigResetAtDisconnect
- PowerCLI 명령 업데이트 적용 예
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.Policy = New-Object VMware.Vim.VMwareDVSPortgroupPolicy $ConfigSpec.Policy.PortConfigResetAtDisconnect = $true $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
Cisco Discovery Protocol 또는 Link Layer Discovery Protocol 비활성화
의도적으로 사용하지 않는 한 분산 스위치에서 CDP(Cisco Discovery Protocol) 또는 LLDP(Link Layer Discovery Protocol) 참여를 비활성화해야 합니다.
vSphere Distributed Virtual Switch는 CDP 또는 LLDP에 참여하여 잠재적으로 네트워크에서 IP 주소 및 시스템 이름과 같은 암호화되지 않은 중요한 정보를 공유할 수 있습니다. 따라서 CDP 및 LLDP는 악의적인 사용자가 환경을 이해하거나 가장하는 데 도움이 될 수 있습니다. 그러나 CDP 및 LLDP는 합법적인 사용 사례에도 매우 유용합니다. 문제 해결이나 구성 검증에 필요하지 않은 경우 CDP 및 LLDP를 비활성화해야 합니다.
- PowerCLI 명령 평가
-
(Get-VDSwitch -Name $VDS).ExtensionData.config.LinkDiscoveryProtocolConfig | Select-Object -ExpandProperty Operation
- PowerCLI 명령 업데이트 적용 예
-
$VDview = Get-VDSwitch -Name $VDS | Get-View $ConfigSpec = New-Object VMware.Vim.VMwareDVSConfigSpec $ConfigSpec.LinkDiscoveryProtocolConfig = New-Object VMware.Vim.LinkDiscoveryProtocolConfig $ConfigSpec.LinkDiscoveryProtocolConfig.Protocol = 'cdp' $ConfigSpec.LinkDiscoveryProtocolConfig.Operation = 'none' $ConfigSpec.ConfigVersion = $VDview.Config.ConfigVersion $VDview.ReconfigureDvs_Task($ConfigSpec)
권한이 있는 수집기에서 NetFlow 트래픽을 수신하는지 확인
vCenter Server는 NetFlow 트래픽이 권한이 있는 수집기로 전송되고 있는지 확인해야 합니다.
vSphere Distributed Switch는 암호화되지 않은 NetFlow 데이터를 내보내 가상 네트워크 및 트래픽 패턴에 대한 세부 정보를 표시할 수 있습니다. 정보 유출을 방지하기 위해 NetFlow 사용이 승인되고 올바르게 구성되었는지 확인해야 합니다.
- PowerCLI 명령 평가
-
(Get-VDSwitch -Name $VDS).ExtensionData.config.IpfixConfig.CollectorIpAddress | Select-Object -ExpandProperty CollectorIpAddress (Get-VDPortgroup -Name $VDPG).ExtensionData.Config.DefaultPortConfig.IpfixEnabled | Select-Object -ExpandProperty Value
- PowerCLI 명령 업데이트 적용 예
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.DefaultPortConfig.IpfixEnabled = New-Object VMware.Vim.BoolPolicy $ConfigSpec.DefaultPortConfig.IpfixEnabled.Inherited = $false $ConfigSpec.DefaultPortConfig.IpfixEnabled.Value = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
가상 시스템 포트 보안 구성
vCenter Server는 포트 차단을 제외하고 분산 스위치의 포트 수준에서 포트 그룹 설정을 재정의해서는 안 됩니다.
고유한 가상 시스템 설정에는 포트 수준 구성 재정의가 필요할 수 있지만 무단 사용을 방지하기 위해 이를 모니터링해야 합니다. 보안이 낮은 분산 스위치 구성이 악용될 경우 모니터링되지 않는 재정의를 통해 더 광범위한 액세스가 허용될 수 있습니다.
- PowerCLI 명령 업데이트 적용 예
-
$VDPGview = Get-VDPortgroup -Name $VDPG | Get-View $ConfigSpec = New-Object VMware.Vim.DVPortgroupConfigSpec $ConfigSpec.DefaultPortConfig = New-Object VMware.Vim.VMwareDVSPortSetting $ConfigSpec.Policy = New-Object VMware.Vim.VMwareDVSPortgroupPolicy $ConfigSpec.Policy.UplinkTeamingOverrideAllowed = $false $ConfigSpec.Policy.BlockOverrideAllowed = $true $ConfigSpec.Policy.LivePortMovingAllowed = $false $ConfigSpec.Policy.VlanOverrideAllowed = $false $ConfigSpec.Policy.SecurityPolicyOverrideAllowed = $false $ConfigSpec.Policy.VendorConfigOverrideAllowed = $false $ConfigSpec.Policy.ShapingOverrideAllowed = $false $ConfigSpec.Policy.IpfixOverrideAllowed = $false $ConfigSpec.Policy.TrafficFilterOverrideAllowed = $false $ConfigSpec.ConfigVersion = $VDPGview.Config.ConfigVersion $VDPGview.ReconfigureDVPortgroup_Task($ConfigSpec)
포트 미러링 제거
vCenter Server는 분산 스위치에서 승인되지 않은 포트 미러링 세션을 제거해야 합니다.
트래픽을 관찰할 수 있도록 vSphere Distributed Switch 포트 간의 트래픽을 미러링합니다. 보안을 유지하려면 분산 스위치의 승인되지 않은 포트 미러링 세션을 제거해야 합니다.
Virtual Guest Tagging 제한
vCenter Server는 분산 스위치에서 VGT(Virtual Guest Tagging)의 사용을 제한해야 합니다.
포트 그룹을 VLAN 4095로 설정하면 VGT(Virtual Guest Tagging)가 가능하기 때문에 가상 시스템이 VLAN 태그를 처리해야 합니다. VLAN 태그를 관리할 권한이 있고 기능이 있는 가상 시스템에 대해서만 VGT를 활성화하십시오. 부적절한 사용으로 인해 서비스 거부 또는 무단 VLAN 트래픽 상호 작용이 발생할 수 있습니다.
vCenter Server 버전에서 VMware 유지 보수 점검
vCenter Server 버전이 VMware 일반 지원 종료 상태에 도달하지 않았는지 확인합니다.
SSH에 대한 액세스 권한 제한
vCenter Server SSH 서비스를 비활성화해야 합니다.
vCenter Server Appliance는 장치로 제공되며 vCenter Server 관리 인터페이스, vSphere Client 및 API를 통해 관리됩니다. SSH는 필요한 경우에만 활성화되는 문제 해결 및 지원 도구입니다. vCenter Server High Availability에서는 SSH를 사용하여 노드 간의 복제 및 페일오버를 조정합니다. 이 기능을 사용하려면 SSH가 활성화된 상태로 유지되어야 합니다.
루트 사용자 암호 만료 확인
vCenter Server 루트 계정 암호 만료를 적절하게 구성해야 합니다.
암호에 대한 최신 모범 사례(NIST 800-63B 섹션 5.1.1.2, 기타 지침 중)에 따르면, 적절한 암호 엔트로피에서는 사용자가 특정 간격으로 암호를 변경하도록 임의로 요구하여 보안이 개선되지 않음을 나타냅니다. 많은 자동화된 보안 도구 및 규정 준수 프레임워크는 이 지침을 반영하지 않으며 이 권장 사항을 무시할 수 있습니다.
파일 기반 백업 및 복구 구성
vCenter Server 설치 관리자를 사용하여 vCenter Server Appliance 및 해당 구성을 복구할 수 있도록 파일 기반 백업 및 복구를 구성합니다. 백업 및 복원은 환경을 보호하는 데 있어 중요한 부분입니다.
인증된 네트워크의 트래픽만 허용하도록 방화벽 구성
vCenter Server Appliance에서 인증된 네트워크의 트래픽만 허용하도록 방화벽을 구성해야 합니다.
명시적으로 허용되지 않는 한 모든 수신 및 송신 네트워크 트래픽을 차단하여 공격 범위를 줄이고 시스템에 대한 무단 액세스를 방지합니다. 나가는(송신) 트래픽은 차단되지 않으며 관련되거나 설정된 연결도 없으므로 vCenter Server Appliance는 연결이 시작되는 시스템과 계속 통신할 수 있습니다. 이러한 유형의 연결을 줄이려면 경계 방화벽을 사용합니다.
원격 로그 서버 구성
vCenter Server에 대한 원격 로그 서버를 구성합니다.
중앙 호스트에 대한 원격 로깅은 로그를 안전하게 저장하여 vCenter Server의 보안을 강화합니다. 원격 로깅은 호스트 전체의 모니터링을 단순화하고 조정된 공격을 탐지하기 위한 집계 분석을 지원합니다. 중앙 집중식 로깅은 변조를 방지하고 신뢰할 수 있는 장기 감사 기록 역할을 합니다.
시간 동기화 구성
vCenter Server에는 신뢰할 수 있는 시간 동기화 소스가 있어야 합니다.
암호화, 감사 로깅, 클러스터 작업, 인시던트 응답 및 법적 조사는 대부분 동기화된 시간을 사용합니다. NTP(네트워크 시간 프로토콜)에는 4개 이상의 소스가 있어야 합니다. 2개의 소스와 1개의 소스 중에서 선택해야 하는 경우 1개의 소스가 더 좋습니다.
소프트웨어 업데이트 설치
vCenter Server에 모든 소프트웨어 업데이트가 설치되어 있는지 확인합니다.
vCenter Server 패치를 최신 상태로 유지하면 취약성을 완화할 수 있습니다. 공격자는 무단 액세스를 시도하거나 권한 상승 시도 시 알려진 취약점을 악용할 수 있습니다.
업데이트를 적용할 때 먼저 vCenter Server를 업데이트하고, ESXi 업데이트를 사용할 수 있는 경우 업데이트를 진행합니다. 이 순서를 따르면 ESXi 호스트를 업데이트하기 전에 관리 계층이 업데이트됩니다.
vpxuser 암호 순환
vCenter Server에서 적절한 간격으로 vpxuser 암호를 순환하도록 구성해야 합니다.
VirtualCenter.VimPasswordExpirationInDays 설정은 순환 기간을 구성합니다. vCenter Server가 ESXi 호스트에서 자동으로 설정하는 암호를 적절하게 순환하고 있는지 확인합니다.
