VMware vCenter Server安全最佳方案

毫无疑问,对于VMware vSphere环境,vCenter Server是至关重要的核心。在vCenter Server的是用于管理vSphere环境的集中式管理平面和是解开许多在vSphere的企业功能中的功能部件。有理由认为,保护vCenter Server是保护vSphere环境安全的总体策略中的主要考虑因素。让我们来看看VMware vCenter Server安全最佳实践,以简要概述最佳实践注意事项,以使的vCenter Server更安全。

VMware vCenter Server安全最佳方案

在保护VMware vCenter Server并遵循这些安全最佳做法时,需要重点关注几个领域。这包括以下内容:

  • 确保对vCenter Server具有适当的访问控制
  • 如果仍然使用Windows Server for vCenter(希望没有使用),则要保护为vCenter Server服务的Windows主机的安全。
  • 将网络连接限制到vCenter Server
  • 制定vCenter Server Appliance (VCSA)设备安全配置做法
  • 利用vCenter密码要求和锁定行为

vCenter Server访问控制

与vCenter Server一样,与大多数IT基础架构一样,访问控制在确保vCenter Server安装安全方面意义重大。通过严格控制对vCenter Server的访问,可以大大提高整个vSphere环境的安全性。

确保使用角色。甚至不是所有需要执行管理员类型职责的用户都需要具有Administrator角色。使用适当的特权集创建专门的自定义角色,并将其分配给其他管理员。大多数管理员可能不需要管理员角色附带的所有特权。

限制有权访问vCenter数据库的数据库用户。仅在安装或升级期间才需要许多用于与数据库进行低级别交互的特权。

数据存储访问限制为仅真正需要这些特权的用户或组。这是一个危险的特权,因为拥有该特权的用户可以将文件下载,查看和上传到vSphere数据存储。

如果需要,请审核并修改vpxuser的密码策略以符合公司密码策略。默认情况下,vCenter Server每30天自动更改一次vpxuser密码。但是,可以更改。

保护Windows vCenter Server安全并开始迁移到VCSA

如果仍在使用Windows Server进行vCenter Server安装,请尽快开始制定计划以迁移到VCSA设备。这是vCenter Server的前进之路。如果尚未使用它,则需要到达那里。

同时,请尽可能确保Windows Server的安全。使用高级RDP连接,对重要的vCenter服务,数据库实例等使用服务帐户,监视Windows Server上的活动,并最大程度地减少访问。

限制vCenter Server网络连接

作为安全性最佳实践,请确保只有管理网络可以使用vCenter Server网络连接,管理网络是已预留并仅用于管理的网络。

不要将vCenter Server网络与存储网络,vMotion网络或生产网络混合在一起。这样做会降低的安全状态。

vCenter Server需要哪些网络访问权限?

  • 所有ESXi主机
  • vCenter Server数据库(如果单独存放)
  • 其他vCenter Server,如果复制标签,权限等
  • 用于运行PowerCLI,SDK或vSphere Client的管理客户端
  • 运行附加组件(例如vSphere Update Manager)的系统
  • 基础结构服务,例如DNS,Active Directory和NTP

此外,除了一般配置的VLAN和管理流量过滤之外,还可以使用防火墙将vCenter Server分段到仅需要访问的那些系统。

VCSA特定的安全性最佳做法

如果在vSphere环境中使用VCSA设备,VMware会提供一些一般性建议。

  • 配置NTP
  • 限制VCSA网络访问

配置NTP时间源可以使vCenter时间与环境时间源同步。这有助于确保vCenter日志记录上的时间戳正确无误,并且肯定会影响审核的准确性。

与上述限制网络访问的最佳做法类似,想限制对VCSA设备的访问并限制可用的端口。VMware 列出了vCenter Server和Platform Services Controller所需的端口

使用VAMI界面管理VCSA设备VMware vCenter Server安全最佳方案 使用VAMI界面管理VCSA设备

使用vCenter Server密码策略和锁定行为

利用vCenter Single Sign-On密码策略,vCenter Server密码和锁定行为。

对于vCenter Single Sign-On管理员密码,默认情况下是根据以下要求配置的:

  • 至少8个字符
  • 至少一个小写字符
  • 至少一个数字字符
  • 至少一个特殊字符

对于vCenter Server,密码策略由配置的身份源(例如Active Directory)或“单一登录”策略定义。

使用锁定策略,在该策略中,用户帐户在尝试失败的登录次数后将被锁定。默认情况下,这被配置为三分钟内连续五次失败尝试,并且五分钟后解锁了一个锁定的帐户。

可以通过更新vCenter Single Sign-On锁定策略来更改和自定义上述默认设置。

更改vSphere-vCenter-Server的默认SSO密码配置VMware vCenter Server安全最佳方案 更改vSphere vCenter Server的默认SSO密码配置

总结

保护的VMware vCenter Server是保护整个vSphere环境的极其重要的一部分。通过遵循此处列出的许多最佳实践,可以极大地改善vSphere的安全性。这些建议中的许多建议本质上都很简单,只需要进行一些配置更改,但对vSphere的整体安全性有很大帮助。请确保在此处查看VMware推荐的安全最佳实践