vsphere-esxi-vcenter-server-601-security-guide.pdf - S\u00e9curit\u00e9 vSphere Mise \u00e0 jour 1 ESXi 6.0 vCenter Server 6.0 Ce document prend en charge la

vsphere-esxi-vcenter-server-601-security-guide.pdf -...

This preview shows page 1 out of 304 pages.

You've reached the end of your free preview.

Want to read all 304 pages?

Unformatted text preview: Sécurité vSphere Mise à jour 1 ESXi 6.0 vCenter Server 6.0 Ce document prend en charge la version de chacun des produits répertoriés, ainsi que toutes les versions publiées par la suite jusqu'au remplacement dudit document par une nouvelle édition. Pour rechercher des éditions plus récentes de ce document, rendez-vous sur : . FR-001824-00 Sécurité vSphere Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse : Le site Web de VMware propose également les dernières mises à jour des produits. N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante : [email protected] Copyright © 2009–2015 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques. VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 2 VMware, Inc. 100-101 Quartier Boieldieu 92042 Paris La Défense France VMware, Inc. Table des matières À propos de la sécurité de vSphere 7 1 Sécurité dans l'environnement vSphere 9 Sécurisation de l'hyperviseur ESXi 9 Sécurisation des systèmes vCenter Server et services associés 11 Sécurisation des machines virtuelles 12 Sécurisation de la couche de mise en réseau virtuelle 13 Mots de passe dans votre environnement vSphere 14 Meilleures pratiques en matière de sécurité et ressources de sécurité 16 2 Authentification vSphere à l'aide de vCenter Single Sign-On 19 Comprendre vCenter Single Sign-On 20 Configuration des sources d'identité vCenter Single Sign-On 29 Gestion du service d'émission de jeton de sécurité (STS) 37 Gestion des stratégies vCenter Single Sign-On 39 Gestion des utilisateurs et des groupes vCenter Single Sign-On 42 Recommandations en matière de sécurité pour vCenter Single Sign-On Dépannage de vCenter Single Sign-On 48 48 3 Certificats de sécurité vSphere 53 Présentation de la gestion de certificats 54 Gestion de certificats avec l'interface Web Platform Services Controller 65 Gestion de certificats avec l'utilitaire vSphere Certificate Manager 69 Remplacement manuel de certificats 78 Gestion des certificats et des services avec les commandes de l'interface de ligne de commande 107 Afficher les certificats vCenter dans vSphere Web Client 122 Définir le seuil pour les avertissements d'expiration du certificat vCenter 123 4 Tâches de gestion des utilisateurs et des autorisations de vSphere 125 Présentation des autorisations dans vSphere 126 Présentation du modèle d'autorisation vCenter Server 127 Héritage hiérarchique des autorisations 128 Paramètres d'autorisation multiples 130 Gestion des autorisations des composants vCenter 132 Autorisations globales 136 Ajouter une autorisation globale 136 Utilisation des rôles pour assigner des privilèges 137 Meilleures pratiques pour les rôles et les autorisations 140 Privilèges requis pour les tâches courantes 141 VMware, Inc. 3 Sécurité vSphere 5 Sécurisation des hôtes ESXi 145 Utiliser des scripts pour gérer des paramètres de configuration d'hôte 146 Configurer des hôtes ESXi avec des profils d'hôte 147 Recommandations générales de sécurité pour ESXi 148 Gestion de certificats pour les hôtes ESXi 152 Personnalisation des hôtes avec le profil de sécurité 166 Affectation d'autorisations pour ESXi 183 Utilisation d'Active Directory pour gérer des utilisateurs ESXi 185 Utiliser vSphere Authentication Proxy 188 Configuration de l'authentification par carte à puce pour ESXi 193 Clés SSH ESXi 195 Utilisation du ESXi Shell 197 Modifier les paramètres proxy Web ESXi 201 Considérations relatives à la sécurité dans vSphere Auto Deploy 202 Gestion des fichiers journaux ESXi 202 Meilleures pratiques de sécurité ESXi 205 6 Sécurisation des systèmes vCenter Server 207 Meilleures pratiques de sécurité de vCenter Server 207 Vérifier les empreintes des hôtes ESXi hérités 212 Vérifier que la validation des certificats SSL sur Network File Copy est activée Ports TCP et UDP pour vCenter Server 213 Accès à l'outil de surveillance du matériel basé sur la surveillance CIM 215 213 7 Sécurisation des machines virtuelles 217 Limiter les messages d'information entre les machines virtuelles et les fichiers VMX 217 Empêcher la réduction de disque virtuel 218 Recommandations en matière de sécurité des machines virtuelles 218 8 Sécurisation de la mise en réseau vSphere 229 Introduction à la sécurité du réseau vSphere 229 Sécurisation du réseau avec des pare-feu 231 Sécuriser le commutateur physique 234 Sécurisation des ports du commutateur standard à l'aide de stratégies de sécurité 234 Sécuriser les commutateurs standard vSphere 235 Sécuriser les commutateurs distribués vSphere et les groupes de ports distribués 237 Sécurisation des machines virtuelles avec des VLAN 238 Créer une DMZ réseau sur un hôte ESXi 240 Création de plusieurs réseaux sur un hôte ESXi 241 Sécurité du protocole Internet 243 Garantir une configuration SNMP appropriée 246 Utiliser des commutateurs virtuels avec l'API vSphere Network Appliance, uniquement si nécessaire 247 Meilleures pratiques en matière de sécurité de la mise en réseau vSphere 247 9 Meilleures pratiques concernant plusieurs composants vSphere 253 Synchronisation des horloges sur le réseau vSphere 253 Meilleures pratiques en matière de sécurité du stockage 256 4 VMware, Inc. Table des matières Vérifier que l'envoi des données de performances de l'hôte aux invités est désactivé 259 Configuration de délais d'expiration pour ESXi Shell et vSphere Web Client 259 10 Privilèges définis 261 Privilèges d'alarmes 262 Privilèges Auto Deploy et privilèges de profil d'image 263 Privilèges de certificats 263 Privilèges de bibliothèque de contenu 264 Privilèges de banque de données 266 Privilèges de cluster de banques de données 266 Privilèges de Distributed Switch 267 Privilèges de gestionnaire d'agent ESX 268 Privilèges d'extension 268 Privilèges de dossier 268 Privilèges globaux 269 Privilèges CIM d'hôte 270 Privilèges de configuration d'hôte 270 Inventaire d'hôte 271 Privilèges d'opérations locales d'hôte 272 Privilèges de réplication d'hôte vSphere 273 Privilèges de profil d'hôte 273 Privilèges du fournisseur Inventory Service 273 Privilèges de balisage Inventory Service 273 Privilèges de réseau 274 Privilèges de performances 275 Privilèges d'autorisations 275 Privilèges de stockage basé sur le profil 276 Privilèges de ressources 276 Privilèges de tâche planifiée 277 Privilèges de sessions 277 Privilèges de vues de stockage 278 Privilèges de tâches 278 Privilèges Transfer Service 279 Privilèges de règle de VRM 279 Privilèges de configuration de machine virtuelle 279 Privilèges d'opérations d'invité de machine virtuelle 281 Privilèges d'interaction de machine virtuelle 281 Privilèges d'inventaire de machine virtuelle 290 Privilèges de provisionnement de machine virtuelle 290 Privilèges de configuration de services de machine virtuelle 292 Privilèges de gestion des snapshots d'une machine virtuelle 292 Privilèges vSphere Replication de machine virtuelle 293 Privilèges du groupe dvPort 293 Privilèges de vApp 294 Privilèges vServices 295 Index VMware, Inc. 297 5 Sécurité vSphere 6 VMware, Inc. À propos de la sécurité de vSphere ® Sécurité vSphere fournit des informations sur la sécurisation de votre environnement vSphere pour ® ® VMware vCenter Server et VMware ESXi. Pour vous aider à protéger votre environnement vSphere, cette documentation décrit les fonctionnalités de sécurité disponibles et les mesures à prendre pour protéger votre environnement des attaques. Outre ce document, VMware publie un Guide de sécurisation renforcée pour chaque version de vSphere. Ces guides sont disponibles à la page . Le Guide de sécurisation renforcée est une feuille de calcul comprenant des entrées pour différents problèmes potentiels de sécurité. Il offre des éléments pour trois profils de risque. Ce document Sécurité vSphere ne contient pas d'informations concernant le profil de risque 1 (environnement imposant une sécurité maximale, comme les installations gouvernementales top secrètes). Public cible Ces informations sont destinées aux administrateurs système Windows ou Linux expérimentés qui maîtrisent les technologies de machine virtuelle et les opérations de centre de données. VMware, Inc. 7 Sécurité vSphere 8 VMware, Inc. Sécurité dans l'environnement vSphere 1 Les composants d'un environnement vSphere sont sécurisés d'origine par un nombre de fonctionnalités telles que les certificats, l'autorisation, un pare-feu sur chaque hôte ESXi, un accès limité, etc. Vous pouvez modifier la configuration par défaut de plusieurs manières, vous pouvez notamment définir des autorisations sur des objets vCenter, ouvrir des ports de pare-feu ou modifier les certificats par défaut. Ces interventions permettent de bénéficier d'une flexibilité maximale pour la sécurisation des systèmes vCenter Server, des hôtes ESXi et des machines virtuelles. Une présentation à haut niveau de différents aspects de vSphere qui nécessitent une certaine attention vous aide à planifier votre stratégie de sécurité. Vous pouvez également tirer parti d'autres ressources de sécurité de vSphere sur le site Web VMware. Ce chapitre aborde les rubriques suivantes : n « Sécurisation de l'hyperviseur ESXi », page 9 n « Sécurisation des systèmes vCenter Server et services associés », page 11 n « Sécurisation des machines virtuelles », page 12 n « Sécurisation de la couche de mise en réseau virtuelle », page 13 n « Mots de passe dans votre environnement vSphere », page 14 n « Meilleures pratiques en matière de sécurité et ressources de sécurité », page 16 Sécurisation de l'hyperviseur ESXi L'hyperviseur ESXi est sécurisé par nature. Vous pouvez accroître la protection des hôtes ESXi en utilisant le mode de verrouillage et d'autres fonctionnalités intégrées. Si vous configurez un hôte de référence et apportez des modifications à tous les hôtes en fonction des profils d'hôte de cet hôte, ou si vous effectuez une gestion par scripts, vous renforcez la protection de votre environnement en veillant à ce que les modifications s'appliquent à tous les hôtes. Utilisez les fonctionnalités suivantes (présentées en détail dans ce guide) pour renforcer la protection des hôtes ESXi gérés par vCenter Server. Reportez-vous également au livre blanc Sécurité de VMware vSphere Hypervisor. Limiter l'accès à ESXi VMware, Inc. Par défaut, les services ESXi Shell et SSH ne s'exécutent pas et seul l'utilisateur racine peut se connecter à l'interface utilisateur de la console directe (DCUI). Si vous décidez d'activer l'accès à ESXi ou SSH, vous pouvez définir des délais d'expiration pour limiter le risque d'accès non autorisé. 9 Sécurité vSphere Les hôtes pouvant accéder à l'hôte ESXi doivent disposer d'autorisations de gestion de l'hôte. Ces autorisations se définissent sur l'objet hôte de vCenter Server qui gère l'hôte. Utiliser des utilisateur nommés et le moindre privilège Par défaut, l'utilisateur racine peut effectuer de nombreuses tâches. Au lieu d'autoriser les administrateurs à se connecter à l'hôte ESXi à l'aide du compte d'utilisateur racine, vous pouvez appliquer des privilèges de configuration de l'hôte différents à divers utilisateurs nommés à partir de l'interface de gestion des autorisations de vCenter Server. Vous pouvez créer des rôles personnalisés, attribuer des privilèges à un rôle et associer le rôle à un utilisateur nommé et à un objet hôte d'ESXi en utilisant vSphere Web Client. Dans une configuration à hôte unique, vous gérez directement les utilisateurs. Consultez la documentation de Gestion d'un hôte vSphere unique. Réduire le nombre de ports de pare-feu ESXi ouverts Par défaut, les ports de pare-feu de votre hôte ESXi sont uniquement ouverts lorsque vous démarrez un service correspondant. Vous pouvez utiliser les commandes de vSphere Web Client, ESXCLI ou PowerCLI pour vérifier et gérer l'état des ports du pare-feu. Reportez-vous à « ESXi », page 166. Automatiser la gestion de l'hôte ESXi Parce qu'il est souvent important que les différents hôtes d'un même centre de données soient synchronisés, utilisez l'installation basée sur scripts ou vSphere Auto Deploy pour provisionner les hôtes. Vous pouvez gérer les hôtes à l'aide de scripts. Les profils d'hôtes constituent une alternative à la gestion basée sur scripts. Vous configurez un hôte de référence, exportez le profil d'hôte et appliquez celui-ci à votre hôte. Vous pouvez appliquer le profil d'hôte directement ou dans le cadre du provisionnement avec Auto Deploy. Consultez « Utiliser des scripts pour gérer des paramètres de configuration d'hôte », page 146 et Installation et configuration de vSphere pour plus d'informations sur vSphere Auto Deploy. Exploiter le mode de verrouillage En mode de verrouillage, les hôtes ESXi sont, par défaut, uniquement accessibles par le biais de vCenter Server. À partir de vSphere 6.0, vous avez le choix entre un mode de verrouillage strict et un mode de verrouillage normal. Vous pouvez également définir des utilisateurs exceptionnels pour permettre un accès direct aux comptes de service tels que les agents de sauvegarde. Reportez-vous à « Mode verrouillage », page 175. Vérifier l'intégrité du module VIB Un niveau d'acceptation est associé à chaque module VIB. Vous pouvez ajouter un VIB à un hôte ESXi uniquement si son niveau d'acceptation est identique ou supérieur au niveau d'acceptation de l'hôte. Vous ne pouvez pas ajouter un VIB CommunitySupported ou PartnerSupported à un hôte à moins d'avoir explicitement modifié le niveau d'acceptation de l'hôte. Reportez-vous à « Vérifier les niveaux d'acceptation des hôtes et des fichiers VIB », page 182. Gérer les certificats ESXi Dans vSphere 6.0 et version ultérieure, l'autorité de certification VMware (VMCA) provisionne chaque hôte ESXi à l'aide d'un certificat signé dont l'autorité de certification racine par défaut est VMCA. Si la stratégie d'une entreprise l'exige, vous pouvez remplacer les certificats existants par des certificats signés par une autorité de certification tierce. Reportez-vous à « Gestion de certificats pour les hôtes ESXi », page 152 10 VMware, Inc. Chapitre 1 Sécurité dans l'environnement vSphere Authentification par carte à puce À partir de vSphere 6.0, ESXi prend en charge l'option d'authentification par carte à puce plutôt que par nom d'utilisateur et mot de passe. Reportez-vous à « Configuration de l'authentification par carte à puce pour ESXi », page 193. Verrouillage de compte ESXi À partir de vSphere 6.0, le verrouillage des comptes est pris en charge pour l'accès via SSH et vSphere Web Services SDK. L'interface de console directe (DCUI) et ESXi Shell ne prennent pas en charge le verrouillage de compte. Par défaut, un nombre maximal de dix tentatives de connexion échouées est autorisé avant le verrouillage du compte. Par défaut, le compte est déverrouillé au bout de deux minutes. Reportez-vous à « Mots de passe ESXi, phrases secrètes ESXi et verrouillage de compte », page 149. Les considérations de sécurité pour les hôtes autonomes sont identiques, bien que les tâches de gestion puissent différer. Consultez la documentation de Gestion d'un hôte vSphere unique. Sécurisation des systèmes vCenter Server et services associés Votre système vCenter Server et les services associés sont protégés par l'authentification via vCenter Single Sign-On, ainsi que par l'autorisation via le modèle d'autorisations vCenter Server. Vous pouvez modifier le comportement par défaut ou prendre des mesures supplémentaires pour protéger l'accès à votre environnement. Lorsque vous protégez votre environnement vSphere, tenez compte du fait que tous les services associés aux instances de vCenter Server doivent être protégés. Dans certains environnements, vous pouvez protéger plusieurs instances de vCenter Server et une ou plusieurs instances de Platform Services Controller. Renforcer toutes les machines hôtes vCenter Pour protéger votre environnement vCenter, vous devez commencer par renforcer chaque machine qui exécute vCenter Server ou un service associé. Ceci s'applique aussi bien à une machine physique qu'à une machine virtuelle. Installez toujours les derniers correctifs de sécurité pour votre système d'exploitation et mettez en œuvre les meilleures pratiques standard de l'industrie pour protéger la machine hôte. Découvrir le modèle de certificat vCenter Par défaut, l'autorité de certification VMware provisionne chaque hôte ESXi, chaque machine de l'environnement et chaque utilisateur de solution à l'aide d'un certificat signé par VMCA (VMware Certificate Authority). L'environnement fourni est prêt à l'emploi, mais vous pouvez modifier le comportement par défaut si la stratégie de l'entreprise l'exige. Reportez-vous à Chapitre 3, « Certificats de sécurité vSphere », page 53. Pour une protection supplémentaire, supprimez explicitement les certificats révoqués ou qui ont expiré, ainsi que les installations qui ont échoué. Configurer vCenter Single Sign-On VMware, Inc. vCenter Server et les services associés sont protégés par la structure d'authentification vCenter Single Sign-On. La première fois que vous installez le logiciel, vous spécifiez un mot de passe pour l'utilisateur [email protected], et seul ce domaine est disponible en tant que source d'identité. Vous pouvez ajouter d'autres sources d'identité (Active Directory ou LDAP) et définir une source d'identité par défaut. Dorénavant, les utilisateurs qui peuvent s'authentifier auprès d'une source d'identité ont la possibilité d'afficher des objets et d'effectuer des tâches, dans la mesure où ils y ont été autorisés. Reportez-vous à Chapitre 2, « Authentification vSphere à l'aide de vCenter Single Sign-On », page 19. 11 Sécurité vSphere Attribuer des rôles aux utilisateurs ou aux groupes Pour optimiser la journalisation, chaque autorisation octroyée pour un objet peut être associée à un utilisateur ou groupe nommé, ainsi qu'à un rôle prédéfini ou personnalisé. Le modèle d'autorisations vSphere 6.0 procure une grande flexibilité en offrant la possibilité d'autoriser les utilisateurs et les groupes de diverses façons. Reportez-vous à la section « Présentation des autorisations dans vSphere », page 126 et « Privilèges requis pour les tâches courantes », page 141. Assurez-vous de limiter les privilèges d'administrateur et l'utilisation du rôle d'administrateur. Dans la mesure du possible, évitez d'utiliser l'utilisateur Administrateur anonyme. Configurer NTP Configurez NTP pour chaque nœud de votre environnement. L'infrastructure de certificats exige un horodatage précis et ne fonctionne correctement que si les nœuds sont synchronisés. Reportez-vous à « Synchronisation des horloges sur le réseau vSphere », page 253. Sécurisation des machines virtuelles Pour sécuriser vos machines virtuelles, appliquez tous les correctifs appropriés aux systèmes d'exploitation invités et protégez votre environnement, de même que vous protègeriez une machine physique. Pensez à désactiver toutes les fonctionnalités inutiles, à minimiser l'utilisation de la console de machine virtuelle et à suivre toute autre meilleure pratique. Protéger le système d'exploitation invité Pour protéger votre système d'exploitation invité, assurez-vous qu'il utilise les correctifs les plus récents et, le cas échéant, les tout derniers programmes antispyware et anti-programme malveillant. Reportez-vous à la documentation de votre fournisseur de système d'exploitation invité et, le cas échéant, à d'autres informations disponibles dans des livres ou sur Internet. Désactiver les fonctionnalités inutiles Vérifiez que toute fonctionnalité inutile est désactivée pour minimiser les points d'attaque potentiels. De nombreuses fonctionnalités peu utilisées sont désactivées par défaut. Supprimez le matériel inutile et désactivez certaines fonctionnalités, comme HFSG ou le copier-coller entre la machine virtuelle et une console distante. Reportez-vous à « Désactiver les fonctions inutiles à l'intérieur des machines virtuelles », page 221. Utiliser les modèles et la ge...
View Full Document

  • Fall '19
  • Management, système d'exploitation, LOGICIEL, machine virtuelle, Système de fichiers

What students are saying

  • Left Quote Icon

    As a current student on this bumpy collegiate pathway, I stumbled upon Course Hero, where I can find study resources for nearly all my courses, get online help from tutors 24/7, and even share my old projects, papers, and lecture notes with other students.

    Student Picture

    Kiran Temple University Fox School of Business ‘17, Course Hero Intern

  • Left Quote Icon

    I cannot even describe how much Course Hero helped me this summer. It’s truly become something I can always rely on and help me. In the end, I was not only able to survive summer classes, but I was able to thrive thanks to Course Hero.

    Student Picture

    Dana University of Pennsylvania ‘17, Course Hero Intern

  • Left Quote Icon

    The ability to access any university’s resources through Course Hero proved invaluable in my case. I was behind on Tulane coursework and actually used UCLA’s materials to help me move forward and get everything together on time.

    Student Picture

    Jill Tulane University ‘16, Course Hero Intern

Stuck? We have tutors online 24/7 who can help you get unstuck.
A+ icon
Ask Expert Tutors You can ask You can ask You can ask (will expire )
Answers in as fast as 15 minutes