執行安全性評估是瞭解基礎結構中是否有任何漏洞的第一步。安全性評估屬於安全性稽核,可審查系統和實務,包括安全合規性。
安全性評估通常是指掃描組織的實體基礎結構 (防火牆、網路、硬體等) 以識別漏洞和問題。安全性評估與安全性稽核不同。安全性稽核不僅包括對實體基礎結構的審查,還包括其他領域,例如原則和標準作業系統程序,包括安全合規性。稽核之後,您可以決定解決系統中的問題的步驟。
準備執行安全性稽核時,您可能會考慮下列常規問題:
- 我們的組織是否有義務遵守合規性規定?如果是,應遵守哪個規定?
- 我們的稽核間隔是多久?
- 我們的內部自我評估間隔是多久?
- 我們是否可以存取先前的稽核結果?曾經是否檢視過這些結果?
- 是否使用第三方稽核公司來協助我們準備稽核?如果是,他們對虛擬化的滿意程度如何?
- 我們是否針對系統和應用程式執行漏洞掃描?時機和頻率?
- 我們的內部網路安全原則是什麼?
- 您的稽核記錄是否根據您的需求進行設定?請參閱vSphere 中的稽核記錄。
如果沒有針對何處開始的具體指導或方向,您可以透過以下方式快速啟動保護 vSphere 環境的安全:
- 使用最新的軟體和韌體修補程式讓您的環境保持最新
- 為所有帳戶維護良好的密碼管理和安全機制
- 檢閱廠商核准的安全性建議
- 參考《VMware 安全性組態指南》(請參閱vSphere 安全性控制參考)
- 使用來自 NIST、ISO 等原則架構的立即可用且經過驗證的指導
- 遵循 PCI、DISA 和 FedRAMP 等符合法規的架構的指導