
الزام فنی امنیتی
شناسه: TR98-007N
در راستای افزایش سطح امنیت از قرار دادن سامانه vCenter Server بر روی شبکههایی بهجز شبکه مدیریت اجتناب شود و اعمال محدودیت در مدیریت vSphere در یک شبکه خاص انجام شود. vCenter Server تنها نیاز به دسترسی به شبکه مدیریت دارد، بنابراین از قراردادن آن در شبکه سازمان، شبکه ذخیرهسازی و هر نوع از شبکههایی که به اینترنت دسترسی دارند اجتناب شود. لازم به ذکر است vCenter Server نیاز به دسترسی برروی شبکههایی که مخصوص به عبور ترافیک vMotion هستند را ندارد.
vCenter Server نیازمند اتصال شبکه با سیستمهای زیر است:
• تمام ESXi Hostها
• پایگاهداده vCenter Server
• سایر vCenter Serverها (اگر vCenter Server بخشی از یک vCenter Single Sign-on Domain در راستای Replicate کردن Tag، Permissionها و امثال آن باشد)
• سیستمهایی که مجاز به اجرای فرآیندهای مدیریتی هستند. بهعنوان مثال، vSphere Client یک سیستم ویندوزی که در آن PowerCLI قرار گرفته است یا هر سیستم دیگری که بر پایه SDK کار میکند.
• سیستمهایی که یک مؤلفه Add-on مانند VMware vSphere Update Manager اجرا میکند.
• سرویسهای زیرساختی نظیر DNS، Active Directory و NTP
برای سرویسهای زیرساختی اعلام شده، باید سرور اختصاصی شبکه مدیریت vCenter راهاندازی شود. بهعبارت دیگر علاوهبر AD سازمان، یک ماشین مجازی مستقل با نقش AD شبکه vCenter برای مدیریت کاربران/سرپرستان vCenter و تمام ESXi Hostها راه اندازی شود. ماشین مجازی vCenter و ماشینهای ارائهدهنده سرویسهای اختصاصی آن از قبیل DNS، Active Directory و NTP باید در یک کلاستر مجزا به نام management cluster قرار گیرند.
سیستم/ سیستمهایی که بهعنوان vSphere Client برای دسترسی به vCenter و تمام ESXi Hostها مورد استفاده قرار میگیرد نیز باید تنها در شبکه مدیریت ماشینهای مجازی قرار داشته باشد و به دیگر شبکههای سازمان متصل نباشد. همچنین باید از دیوار آتش محلی/ شبکه (برروی سیستم ویندوزی که vCenter Server در آن اجرا میشود) استفاده شود. محدودیتهای دسترسی مبتنی بر آدرس IP مشخص شود تا فقط مؤلفههای لازم بتوانند با vCenter Server ارتباط برقرار کنند.
افزونههای vSphere Client و vSphere Web Client با همان امتیاز کاربری که وارد میشوند اجرا شوند. یک افزونه مخرب میتواند بهعنوان یک Plug-In مفید وارد شود و اقدامات مخربی نظیر سرقت اعتبارها یا تغییر پیکربندی سیستم را انجام دهد. جهت افزایش سطح امنیت باید افزونههای لازم فقط از منابع مورد اطمینان دریافت شود. بهعلاوه، استفاده از این افزونهها گاهی اوقات منجر به امکان اجرای دستورات دلخواه با همان سطح مدیر شود که این اقدام نیز میتواند پر مخاطره باشد. برای محافظت بیشتر باید تمام افزونهها بهصورت دورهایی بررسی شوند و اطمینان حاصل شود افزونهها از منبع رسمی تهیه شدهاند.
باسپاس از آقای حاجی علیزاده از شرکت کهکشان نور در تهیه این گزارش