身為您公司的虛擬基礎結構管理員,您必須確保 vSphere 6.0 物件遵守《vSphere 強化指南》中的符合性規則。您可以使用 vRealize Operations Manager 中的符合性警示,來監控物件是否違反符合性標準。在 vCenter Server 執行個體、主機、虛擬機器、分散式連接埠群組或 Distributed Switch 上觸發符合性警示時,您就要調查符合性違規。您必須解決違規問題,好讓違規的物件繼續符合業界安全性標準。

執行這項作業的原因和時機

您負責管理及監控產品、測試及開發環境的安全性。您的物件包含多個 vCenter Server 執行個體,而且每個執行個體中都有主機、虛擬機器、分散式連接埠群組和 Distributed Switch。

CIO 要求您在生產及測試環境中的所有 vCenter Server 執行個體和主機機器上執行 SSH。您必須監控所有主機,確保其遵守 SSH 要求。您必須每週產生一份符合性報告,向主管及符合性小組證明您的物件遵守實作的安全性標準。

為針對 vSphere 6.0 物件強制執行符合性及產生報告,您啟用《vSphere 強化指南》中的符合性規則。接著再啟用適當的警示,並在虛擬機器套用風險方針組合。待 vRealize Operations Manager 收集物件的符合性資料後,即可解決任何發生的規違事件,並且建立一份符合性結果報告給主管和符合性小組。

vRealize Operations Manager 隨附的警示定義是以物件類型為根據,而不是特定版本的強化指南。現在無需再建立自訂群組並在該群組上套用原則,就可以使用這些警示。

部分警示定義可在 vSphere 6.0 和 vSphere 5.5 物件之間通用。vRealize Operations Manager 會針對 6.0 物件檢查 vSphere 6.0 症狀,針對 5.5 物件檢查 5.5 症狀,以及針對兩種版本的物件檢查 6.0 和 5.5 症狀。

先決條件

確認目前版本的 vRealize Operations Manager 已安裝並在執行中。

程序

  1. vRealize Operations Manager 中,啟用符合性規則。
    1. 依序按一下管理解決方案
    2. 依序按一下VMware vSphere 解決方案和設定
    3. 在管理解決方案對話方塊中,按一下定義監控目標
    4. 啟用 vSphere 強化指南警示下,依序按一下儲存
    5. vRealize Operations Manager 報告預設原則是設定為收集物件的符合性資料時,請依序按一下確定關閉
  2. 啟用預設原則中的符合性警示定義。
    1. 在功能表中按一下管理,然後在左窗格中按一下原則,再按一下原則程式庫索引標籤。
    2. 依序按一下預設原則編輯所選原則
    3. 在左側的 [編輯監視原則] 工作區中,按一下 警示/症狀定義
    4. 在 [警示定義] 窗格的 [篩選器] 文字方塊中,輸入強化

      隨後便會出現數個警示定義,您可以用於對物件強制執行符合性。每個警示都會顯示症狀數目,以及警示套用到哪些物件類型。您可以看到在虛擬機器上用於確保高度、中度或低度安全性的風險方針組合 1、2 和 3 的警示定義。

    5. 按一下名稱為 vCenter 違反 vSphere 強化指南的警示。
    6. 在 [狀態] 資料行中按向下箭頭,然後選取本機
    7. 若要在虛擬機器、分散式連接埠群組和 Distributed Switch 上啟用符合性警示,請啟用其他警示定義,然後按一下儲存
  3. 檢視針對 ESXi 主機之警示定義的症狀集。
    1. 在功能表中按一下警示,然後在左窗格中按一下警示定義
    2. 在 [篩選器] 文字方塊中,輸入強化
    3. 按一下名稱為 vCenter 違反 vSphere 強化指南的警示。
    4. 在下方的窗格中,找出警示影響、嚴重度和症狀集。
    5. 捲動症狀集並檢查症狀,這些症狀可能會觸發主機的警示。
    6. 在症狀集下方,檢查修正問題的建議 (若這個警示是在主機上觸發)。
    7. 按一下《VMware vSphere 強化指南》的連結。

      隨後便會開啟網頁,顯示《VMware vSphere Security 強化指南》的清單:http://www.vmware.com/security/hardening-guides.html

  4. 將焦點放在生產 vCenter Server 執行個體中主機的警示。
    1. 在功能表中按一下警示,然後在左窗格中按一下所有警示
    2. 按一下名稱為 ESXi 主機違反 vSphere 強化指南的符合性警示中的連結。
    3. 檢查症狀,這會顯示違反《vSphere 強化指南》規則的主機。
    4. 針對列出的第一個主機,按一下主機名稱,然後在 [摘要] 索引標籤上檢查違規。
  5. 執行要給符合性小組的報告。
    1. 在功能表中按一下管理,然後在左窗格中按一下報告
    2. 在 [篩選器] 文字方塊中,輸入強化

      隨後便會出現一份名稱為 [VMware vSphere 強化指南 - 非符合性報告] 的報告。

    3. 在 [報告範本] 索引標籤上,按一下執行範本,然後等候 vRealize Operations Manager 產生報告。
    4. 按一下產生的報告

      報告隨即會出現,並且提供 PDF 和 CSV 版本供您下載。

    5. 在 [下載] 資料行中按一下 PDF 圖示,然後檢查報告的內容。

      非符合性報告是針對主機顯示,並包含您執行該報告的日期與時間。您也會識別為執行該報告的使用者。報告會顯示在物件及其子代上執行的非符合性規則。在報告中,您可以看到警示的嚴重度與狀態、物件名稱,以及觸發警示的類型。

    6. 在 [下載] 資料行中按一下 CSV 圖示,然後檢查試算表的內容。

      試算表方便您查看結果摘要,並允許您將資料匯入另一個應用程式。

結果

您已根據《VMware vSphere 強化指南》,確實在 vCenter Server 執行個體中的物件上強制執行符合性規則。

下一步

若要檢查其他物件的符合性警示定義,按一下警示 > 警示定義