ANSSI ha publicado una guía para proteger las infraestructuras de VMware. Centrarse en las recomendaciones de arquitectura.
¿Tenga cuidado de no configurar el hipervisor como fuente para la sincronización horaria en los controladores de dominio AD? Esta recomendación aparece en una guía de ANSSI dedicada a la infraestructura de VMware.
Al hacer esto, evitamos la desincronización durante el reinicio de la VM o al tomar una instantánea , lo que podría tener un impacto en las replicaciones de Active Directory, explica la agencia.
VLAN, VMkernel, proxy: una cuestión de compartimentación(es)
Algunas recomendaciones se relacionan con la administración. Otros, al backup, microsegmentación o endurecimiento de ESXi. La mayoría, sin embargo, se relacionan con la arquitectura. Son esencialmente una cuestión de compartimentación. Por ejemplo, entre los flujos de los componentes de administración de infraestructura de vSphere y los de las máquinas alojadas. El primero debe pasar al plano de control; este último, al plano de datos.
Tendremos cuidado de no compartir el puerto de administración de una VM con el plano de control de la base de virtualización. Al contrario, lo aislaremos, al menos mediante una VLAN dedicada. También dedicaremos VLAN, así como adaptadores VMkernel, a los flujos de administración, en lugar del almacenamiento y la copia de seguridad.
También es necesaria la separación entre el clúster de administración ( dominio de gestión , que aloja los componentes del plano de control y el vCenter del clúster de administración) y los clústeres de producción ( dominios de carga ). Dentro del dominio de administración , los planos de control adjuntos a cada dominio de carga de trabajo se ubicarán detrás de las VLAN .
ANSSI también aconseja separar la administración de los hipervisores ESXi y la administración comercial de las VM. Al tiempo que se dedica un vCenter por zona de confianza para la administración de la base de virtualización y un sistema de rebote para la administración de las VM empresariales.
Otro elemento a aislar: la administración de tarjetas de control remoto, en relación al resto de la administración. Lo mismo ocurre con los flujos de transferencia de vMotion para cada zona de confianza. Y para el directorio de administración de VMware en comparación con otros directorios utilizados en producción. En este punto, comprobaremos periódicamente las vías de control para evitar elevaciones de privilegios en un sentido u otro.
Puertos físicos, almacenes de datos. , clústeres ESXi: elementos a dedicar
ANSSI recomienda dedicar un puerto de red físico a los flujos de administración. Y reservar un dominio de carga de trabajo para cada zona de confianza, así como un vCenter alojado en el dominio de administración .
En sistemas de administración complejos, integraremos un clúster ESXi que actúa como dominio de administración y un dominio de carga de trabajo que contiene las herramientas de administración. Reservaremos una interfaz –no accesible desde una red de producción– para la gestión de ESXi.
En el sistema de administración, configuramos una función de proxy para recuperar actualizaciones de Internet (filtrado de URL por lista de autorización).
NetMedia, Francia. CB. Traducido al español
Contacto