為提高安全性,請避免將 vCenter Server 系統置於管理網路之外的任何網路上,並確保 vSphere 管理流量位於受限制的網路。透過限制網路連線,可以限制特定類型的攻擊。

vCenter Server 僅需要存取管理網路。避免將 vCenter Server 系統置於其他網路 (如生產網路或儲存區網路) 或有權存取網際網路的任何網路。vCenter Server 不需要存取 vMotion 在其中運作的網路。

vCenter Server 需要與以下系統建立網路連線。
  • 所有 ESXi 主機。
  • vCenter Server 資料庫。
  • 其他 vCenter Server 系統 (如果 vCenter Server 系統屬於用於複寫標籤、權限等的一般 vCenter Single Sign-On 網域)。
  • 有權執行管理用戶端的系統。例如,vSphere Client,即您在其中使用 PowerCLI 的 Windows 系統,或任何其他以 SDK 為基礎的用戶端。
  • 基礎結構服務,例如 DNS、Active Directory 以及 PTP 或 NTP。
  • 執行對 vCenter Server 系統功能至關重要的元件的其他系統。

vCenter Server 上使用防火牆。包括以 IP 為基礎的存取限制,這樣只有必要的元件才能與 vCenter Server 系統通訊。

評估 Linux 用戶端搭配 CLI 和 SDK 的使用情況

依預設,用戶端元件與 vCenter Server系統或ESXi 主機之間的通訊由基於 SSL 的加密進行保護。這些元件的 Linux 版本不執行憑證驗證。請考慮限制這些用戶端的使用。

為提升安全性,您可以使用由企業或第三方 CA 簽署的憑證取代 vCenter Server系統和 ESXi 主機上 VMCA 簽署的憑證。但是,與 Linux 用戶端的某些通訊可能仍然容易受到中間機器的攻擊。以下元件在 Linux 作業系統上執行時容易受到攻擊。
  • ESXCLI 命令
  • vSphere SDK for Perl 指令碼
  • 使用 vSphere Web Services SDK 撰寫的程式
如果強行執行適當的控制,則可放寬對使用 Linux 用戶端的限制。
  • 僅限制管理網路對授權系統的存取。
  • 使用防火牆確保僅允許授權主機存取 vCenter Server
  • 使用堡壘主機 (跳轉盒系統) 確保 Linux 用戶端受「跳轉」限制。

檢查 vSphere Client 外掛程式

vSphere Client 延伸在與登入使用者相同的權限層級下執行。惡意延伸可以偽裝成有用的外掛程式並執行有害的作業,例如竊取認證或變更系統組態。若要增強安全性,請使用僅包括來自受信任來源的授權延伸的安裝。

vCenter Server 安裝包括 vSphere Client 的可延伸性架構。您可以使用此架構透過功能表選取項目或工具列圖示來延伸用戶端。延伸可提供對 vCenter Server 附加元件或外部以 Web 為基礎之功能的存取權。

使用可延伸性架構會導致引入誤用功能的風險。例如,如果管理員在 vSphere Client 的一個執行個體中安裝外掛程式,則該外掛程式可以使用該管理員的權限層級執行任意命令。

若要保護 vSphere Client 免受潛在的危害,請定期檢查所有已安裝的外掛程式,並確保所有外掛程式均來自受信任的來源。

必要條件

您必須具有存取 vCenter Single Sign-On 服務的權限。這些權限與 vCenter Server權限不同。

程序

  1. 以 administrator@vsphere.local 或擁有 vCenter Single Sign-On 權限的使用者身分登入 vSphere Client
  2. 在首頁上,選取管理,然後選取解決方案下的用戶端外掛程式
  3. 檢查用戶端外掛程式清單。