《VMware 安全性強化指南》提供有關以安全方式部署和操作 VMware 產品的規範性指導。對於 vSphere,本指南稱為《vSphere 安全性組態指南》(以前稱為強化指南)。從 vSphere 8.0 Update 3 開始,本指南現在包含《vSphere 安全性組態指南》中稱為安全性控制的資訊。

安全性控制為 vSphere 提供了安全最佳做法。安全性控制不直接對應到法規準則或架構。因此,請勿將它們用作實現合規性的一種方式。此外,安全性控制不能用作安全性檢查清單。

安全性始終是一種權衡。當您執行安全性控制時,可能會對可用性、運作或其他營運工作造成負面影響。無論建議來自 VMware 還是其他產業來源,在進行安全性變更之前,都需要仔細考量您的工作負載、使用模式、組織結構等。

如果您的組織需遵守法規合規性需求,請參閱 https://core.vmware.com/compliance。此網站提供合規性套件和產品稽核指南,可協助 vSphere 管理員和法規稽核員針對法規架構保護及證明虛擬基礎結構,例如 NIST 800-53v4、NIST 800-171、PCI DSS、HIPAA、CJIS、ISO 27001 等。

這些 vSphere 安全性控制不討論如何確保以下各項的安全性:
  • 在虛擬機器內執行的軟體,例如客體作業系統和應用程式
  • 透過虛擬機器網路執行的流量
  • 附加元件產品的安全性

vSphere 安全性控制不應用作「合規性」工具。這些安全性控制可以初步讓您實現合規性,但是如果單獨使用,則無法確保您部署的合規性。如需有關符合性的詳細資訊,請參閱vSphere 環境中的安全性與符合性

不要盲目地將安全性控制套用至您的環境。而是花時間評估每個設定,並就是否將其套用做出明智的決定。您至少可以使用 [評估] 區段中的指示來驗證部署的安全性。

這些安全性控制有助於開始在部署中實作合規性。與防禦資訊系統代理機構 (DISA) 和其他合規性準則搭配使用時,您可以根據各個準則將 vSphere 安全性控制對應到合規性類型模板。

安全性控制術語的定義

在後面的安全性控制部分中,使用以下術語和定義。

表 1. 安全性控制定義
控制術語 定義
安裝預設值 首次安裝產品時,此版本的 vSphere 中的控制預設值。
基準建議值 有關應如何設定此控制的合理建議 (如果沒有其他指引)。例如,法規合規性指引可能取代這些建議。
需要執行的動作

針對特定控制的建議動作。

修改:進行變更。對於 vSphere 之外的控制 (例如硬體設定),本說明文件始終假定預設情況下該控制設定不安全,並建議修改組態。

稽核:確保使用預設值,存在預期值,或者記錄了控制例外狀況。稽核預設值為建議值的控制時,可能有兩種思路。首先:只有明確設定參數,才能稽核和知道這些參數。其次:隨時間的推移,所有組態變更都需要「維護和輸入」,因此,在存在安全預設值的情況下,可以使用預設值協助簡化環境。本說明文件採用後一種方法,但您可以選擇自己的方法。

未實作的控制對安全性沒有任何影響。在本說明文件中,它們列為「稽核」,但可以移除。

預設值已變更時的潛在功能影響 此變更是否可能會造成問題?大多數安全性控制以某種方式進行權衡。變更此控制可能需要什麼交換?
PowerCLI 命令評估 用於確定控制的設定方式的範例 PowerCLI 命令。
PowerCLI 命令修復範例 用於將控制設定為建議的範例 PowerCLI 命令。