VMware 建立安全性強化指南,以提供有關以安全方式部署和操作 VMware 產品的規範性指導。對於 vSphere,本指南稱為《vSphere 安全性組態指南》(以前稱為強化指南)。
《vSphere 安全性組態指南》包含適用於 vSphere 的安全性最佳做法。《vSphere 安全性組態指南》未直接與法規準則或架構相對應,因此不是合規性指南。此外,《vSphere 安全性組態指南》不能作為安全性檢查清單使用。安全性始終是一種權衡。當您執行安全性控制時,可能會對可用性、運作或其他營運工作造成負面影響。無論建議來自 VMware 還是其他產業來源,在進行安全性變更之前,都需要仔細考量您的工作負載、使用模式、組織結構等。如果您的組織需遵守法規合規性需求,請參閱vSphere 環境中的安全性與符合性或造訪 https://core.vmware.com/compliance。此網站提供合規性套件和產品稽核指南,可協助 vSphere 管理員和法規稽核員針對法規架構保護及證明虛擬基礎結構,例如 NIST 800-53v4、NIST 800-171、PCI DSS、HIPAA、CJIS、ISO 27001 等。
- 在虛擬機器內執行的軟體,例如客體作業系統和應用程式
- 透過虛擬機器網路執行的流量
- 附加元件產品的安全性
《vSphere 安全性組態指南》並非意味著要用作「合規性」工具。《vSphere 安全性組態指南》確實使您能夠對合規性採取初始步驟,但是單獨使用時,並不能確保您的部署符合標準。如需有關符合性的詳細資訊,請參閱vSphere 環境中的安全性與符合性。
閱讀 vSphere 安全性組態指南
《vSphere 安全性組態指南》是包含安全性相關準則的試算表,可協助您修改 vSphere 安全性組態。這些準則根據受影響的元件被分為多個索引標籤,其中包含以下部分或所有資料行。
| 資料行標題 | 說明 |
|---|---|
| 準則識別碼 |
參考安全性組態或強化建議的唯一的兩部分識別碼。第一部分用於指示元件,定義如下:
|
| 說明 |
特定建議的簡短說明。 |
| 討論 |
位於特定建議後方的漏洞的說明。 |
| 組態參數 |
如果有的話,請提供適當的組態參數或檔案名稱。 |
| 所需的值 |
所需的建議狀態或值。可能的值包括:
|
| 預設值 |
vSphere 所設定的預設值。 |
| 所需的值為預設值? |
指出安全性設定是否為預設產品組態。 |
| 需要執行的動作 |
要對特定建議採取的動作類型。動作包括:
|
| 在 vSphere Client 中設定位置 |
使用 vSphere Client 檢查值的步驟。 |
| 變更預設值對功能造成負面影響? |
使用安全性建議的潛在負面影響的說明 (如有)。 |
| PowerCLI 命令評估 |
使用 PowerCLI 檢查值的步驟。 |
| PowerCLI 命令修復範例 |
使用 PowerCLI 設定 (修復) 值的步驟。 |
| vCLI 命令修復 |
使用 vCLI 命令設定 (修復) 值的步驟。 |
| PowerCLI 命令評估 |
使用 PowerCLI 命令檢查值的步驟。 |
| PowerCLI 命令修復 |
使用 PowerCLI 命令設定 (修復) 值的步驟。 |
| 能夠使用主機設定檔進行設定 |
使用主機設定檔 (僅適用於 ESXi 準則) 是否可完成此設定。 |
| 強化 |
若為 TRUE,則準則只有一個實作需符合標準。若為 FALSE,可透過設定多個組態來滿足準則實作。實際設定通常是站台專屬的。 |
| 站台專屬的設定 |
若為 TRUE,則需符合準則標準的設定取決於該 vSphere 部署專屬的規則或標準。 |
| 稽核設定 |
若為 TRUE,可能需要修改所列設定的值,以滿足站台專屬規則。 |
不要盲目地將《vSphere 安全組態指南》中的準則套用至您的環境,而是花時間評估每個設定,並就是否將其套用做出明智的決定。您至少可以使用 [評估] 資料行中的指示來驗證部署的安全性。
《vSphere 安全組態指南》有助於開始在部署中實作合規性。與防禦資訊系統代理機構 (DISA) 和其他合規性準則搭配使用時,《vSphere 安全組態指南》可讓您將 vSphere 安全性控制對應到每個準則的合規性類型模板。
