安全性最佳做法是按照 VMware 的建議,在您的 vRealize Automation 系統上設定稽核與記錄。

遠端記錄至中央記錄主機,可為記錄檔提供安全的存放區。透過將記錄檔收集至中央主機,您可以使用單一工具來監控環境。此外,您也可以執行彙總分析,以及在基礎結構中的多個項目上搜尋協調式攻擊之類的威脅證據。記錄至安全的集中式記錄伺服器,有助於防止記錄遭篡改,並能提供長期稽核記錄。

確保遠端記錄伺服器安全無虞

攻擊者破壞主機的安全性後,通常都會嘗試搜尋並篡改記錄檔,以遮掩他們的行蹤,並在不被發現的情況下繼續控制主機。適當地保護遠端記錄伺服器,有助於阻止記錄遭篡改。

使用獲授權的 NTP 伺服器

確保所有主機使用相同的相對時間來源,包括相關的當地語系化時差,並確保您可將相對時間來源關聯至商定的時間標準,例如國際標準時間 (UTC)。有原則地管理時間來源,可讓您在檢閱相關記錄檔時,迅速追蹤並關聯入侵者的動作。不正確的時間設定會讓您難以檢查和關聯要偵測攻擊的記錄檔,且會導致稽核不準確。

請至少使用外部時間來源的三個 NTP 伺服器,或者在信任的網路上設定幾個本機 NTP 伺服器,然後再從至少三個外部時間來源取得時間。