Reading Time: 5 minutes

Objective 1.4 –Secure vCenter Server and ESXi

Molti riferimenti sono contenuti nella vSphere Security Guide, ma rimangono tutt’ora validi anche i riferimenti contenuti nel vecchio documento (ancora riferito al VI 3.x) Managing VMware VirtualCenter Roles and Permissions.

Vedere anche (in inglese): Objective 1.4 – Secure vCenter Server and ESXi e Objective 1.4 –Secure vCenter Server and ESXi.

Identify common vCenter Server privileges and roles (similar as vSphere 4.x)

Per l’elenco completo vedere la vSphere Security Guide (pag. 59). I ruoli disponibili sia in ESXi che in vCenter Server sono:

  • No Access: non è possibile vedere l’oggetto. Eventuali tab nel vSphere Client associati a questo oggetto appariranno senza contenuto. Tipicamente viene utilizzato per revocare permessi ad un oggetto figlio che altrimenti sarebbero propagati da un oggetto padre.
  • Read Only: è possibile vedere solo lo stato e i dettagli dell’oggetto. Tutti i tab del vSphere Client associati sono visibili, eccetto la Console tab. Non è possibile alcuna azione tramite menu e toolbar.
  • Administrator: Tutti i privegi su un particolare oggetto.  Notare che gli utenti che sono nel gruppo the Active Directory ESX Admins sono automenticamente assegnati al ruolo Administrator.

Describe how permissions are applied and inherited in vCenter Server (same as vSphere 4.x)

Vedere la vSphere Security Guide (pag. 48 e anche pag. 51 per alcuni esempi).

Quando un permesso viene assegnato ad un oggetto, è possibile scegliere se dovrà essere propagato nella gerarchia sottostante. La propagazione non è globale e universale, ma per ogni permesso.  I permessi definiti in un oggetto figlio hanno sempre la precedenza su quelli che sono propagati dal padre.

Notare che nelle versioni precedenti di vCenter Server, i datastore e le network ereditavano i permessi dal datacenter. In vCenter Server 5.0, questi hanno i loro set di privilegi. Nel caso di un upgrade, potrebbe essere necessario sistemare manualmente questi privilegi, in base all’accesso richiesto. Per maggiori informazioni vedere la vSphere Upgrade Guide (pag. 61).

Configure and administer the ESXi firewall (new in vSphere 5.x)

Vedere la pagina: What’s new in vSphere 5: ESXi firewall.

Enable/Configure/Disable services in the ESXi firewall (new in vSphere 5.x)

Vedere la pagina: What’s new in vSphere 5: ESXi firewall.

Enable Lockdown Mode (same as vSphere 4.x)

Vedere il sito web The New Lockdown Mode in ESXi 4.1 e la vSphere Security Guide (pag. 81).

Da notare che il lockdown mode non si applica nel caso di un accesso a root in SSH con autenticazione crittografica (tramite authorized keys). Inoltre l’utente root potrà comunque accedere all’host tramite la direct console (anche con il lockdown mode abilitato).

Configure network security policies (same as vSphere 4.x)

Vedere : VMware Virtual Networking Concepts e la vSphere Security Guide (pag. 25).

I virtual switch (ma anche i portgroup) hanno la possibilità di applicare policy di sicurezza a livello 2. Vi sono tre tipi di policy:

  • Promiscuous mode is disabled by default for all virtual machines. This prevents them from seeing unicast traffic to other nodes on the network.
  • MAC address change lockdown prevents virtual machines from changing their own unicast addresses. This also prevents them from seeing unicast traffic to other nodes on the network, blocking a potential security vulnerability that is similar to but narrower than promiscuous mode.
  • Forged transmit blocking, when you enable it, prevents virtual machines from sending traffic that appears to come from nodes on the network other than themselves

Per l’uso delle VLAN, in ambito di sicurezza delle reti, vedere la vSphere Security Guide (pag. 20).

View/Sort/Export user and group lists (same as vSphere 4.x)

Vedere la vSphere Security Guide (pag. 45). Notare che esistono sia utenti/gruppi locali (sia nel caso di ESXi che nel caso di vCenter Server) che utenti/gruppi centralizzati (attraverso servizi di directory come Microsoft AD).

Add/Modify/Remove permissions for users and groups on vCenter Server inventory objects (same as vSphere 4.x)

Vedere la vSphere Security Guide (pag. 53) e il sito http://www.vmwarehub.com/Permissions.html.

Create/Clone/Edit vCenter Server Roles (same as vSphere 4.x)

Vedere la vSphere Security Guide (pag. 61). Da notare che quando si rimuove un ruolo assegnato ad un utente o gruppo è possibile scegliere se togliere il ruolo (remove role assignments) o sostituirlo con un altro (reassign affected user to).

Add an ESXi Host to a directory service (same as vSphere 4.1)

In vSphere 5 vi sono due diversi modi per utilizzare l’autententicazione Active Directory negli host ESXi::

  • Aggiungere l’host come “member server” di un Active Directory (come in ESXi 4.1): vedere la vSphere Security Guide (pag. 63).
  • Utilizzare la nuova funzione vSphere Authentication Proxy service (CAM service): vedere la vSphere Security Guide (pag. 65).

Apply permissions to ESXi Hosts using Host Profiles (same as vSphere 4.x)

Vedere Use Host Profiles to Apply Permissions to Hosts (per host registrati in AD) e la guida vSphere Security Guide (pag. 67 per l’uso con vSphere Authentication Proxy).

Determine the appropriate set of privileges for common tasks in vCenter Server (similar as vSphere 4.x)

Vedere la vSphere Security Guide, ma anche in ogni singola guida, di volta in volta, vengono specificati i privilegi richiesti.

Share