請遵循所有最佳做法,以保護 vCenter Server 系統安全,從而保護您的 vCenter Server Appliance。額外步驟更有助於您保護應用裝置的安全。
- 設定 NTP
- 確保所有系統使用相同的相對時間來源。此時間來源必須與商定的時間標準 (如國際標準時間 (UTC)) 同步。同步的系統對於憑證驗證來說至關重要。NTP 還可讓您更輕鬆地追蹤記錄檔中的侵入者。不正確的時間設定讓您難以檢查和關聯要偵測攻擊的記錄檔,且會導致稽核不準確。請參閱 將 vCenter Server Appliance 與 NTP 伺服器的時間同步。
- 限制 vCenter Server Appliance 網路存取
-
限制對與
vCenter Server Appliance 進行通訊所需元件的存取。封鎖來自不必要系統的存取可降低對作業系統發動攻擊的潛在可能性。
如需 VMware 產品 (包括 vSphere 和 vSAN) 中所有支援的連接埠和通訊協定的清單,請參閱 VMware Ports and Protocols Tool™,網址為 https://ports.vmware.com/。可以依 VMware 產品搜尋連接埠、建立自訂連接埠清單,以及列印或儲存連接埠清單。
- 設定 Bastion 主機
- 若要幫助保護資產,請設定 bastion 主機 (也稱為跳轉盒) 以執行提升的管理工作。Bastion 主機是一種專用電腦,可主控最低數量的管理應用程式。將移除所有其他不必要的服務。主機通常位於管理網路上。Bastion 主機透過將登入限制為主要個人、要求防火牆規則登入以及使用稽核工具新增監控來提高資產的保護。