VMWARE ESXi - 6.7 Instruction Manual [fr]

Download

Page 1

Sécurité vSphere

17 avril 2018 VMware vSphere 6.7 VMware ESXi 6.7 vCenter Server 6.7

Page 2

Sécurité vSphere

Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :

https://docs.vmware.com/fr/

N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :

docfeedback@vmware.com

VMware, Inc.

3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com

VMware, Inc.

100-101 Quartier Boieldieu 92042 Paris La Défense France www.vmware.com/fr

VMware, Inc. 2

Page 3

Table des matières

À propos de la sécurité de vSphere 8

Sécurité dans l'environnement vSphere 10

Sécurisation de l'hyperviseur ESXi 10 Sécurisation des systèmes vCenter Server et services associés 13 Sécurisation des machines virtuelles 14 Sécurisation de la couche de mise en réseau virtuelle 15 Mots de passe dans votre environnement vSphere 17 Meilleures pratiques en matière de sécurité et ressources de sécurité 19

Tâches de gestion des utilisateurs et des autorisations de vSphere 21

Présentation des autorisations dans vSphere 22 Gestion des autorisations des composants vCenter 30 Autorisations globales 33 Utilisation des rôles pour assigner des privilèges 36 Meilleures pratiques pour les rôles et les autorisations 40 Privilèges requis pour les tâches courantes 41

Sécurisation des hôtes ESXi 45

Recommandations générales de sécurité pour ESXi 46 Gestion de certificats pour les hôtes ESXi 59 Personnalisation des hôtes avec le profil de sécurité 76 Attribution de privilèges pour les hôtes ESXi 94 Utilisation d'Active Directory pour gérer des utilisateurs ESXi 96 Utiliser vSphere Authentication Proxy 99 Configuration de l'authentification par carte à puce pour ESXi 107 Utilisation du ESXi Shell 110 Démarrage sécurisé UEFI des hôtes ESXi 115 Sécurisation des hôtes ESXi avec un module de plate-forme sécurisée 117 Fichiers journaux ESXi 119

VMware, Inc.

Sécurisation des systèmes vCenter Server 123

Meilleures pratiques de sécurité de vCenter Server 123 Vérifier les empreintes des hôtes ESXi hérités 130 Vérifier que la validation des certificats SSL sur Network File Copy est activée 131 Ports requis pour vCenter Server et l'instance de Platform Services Controller 132 Ports TCP et UDP supplémentaires pour vCenter Server 137

Page 4

Sécurité vSphere

Sécurisation des machines virtuelles 141

Activer ou désactiver le démarrage sécurisé UEFI pour une machine virtuelle 141 Limiter les messages d'information des machines virtuelles vers les fichiers VMX 143 Empêcher la réduction de disque virtuel 143 Recommandations en matière de sécurité des machines virtuelles 144

Chiffrement des machines virtuelles 156

Méthodologie utilisée par le chiffrement de machine virtuelle vSphere pour protéger votre

environnement 157 Composants du chiffrement des machines virtuelles vSphere 159 Flux de chiffrement 161 Chiffrement des disques virtuels 163 Conditions préalables et privilèges requis pour les tâches de chiffrement 164 vSphere vMotion chiffré 166 Meilleures pratiques de chiffrement, mises en garde et interopérabilité 167

Utiliser le chiffrement dans votre environnement vSphere 174

Configurer le cluster du serveur de gestion des clés 175 Créer une stratégie de stockage de chiffrement 184 Activer explicitement le mode de chiffrement de l'hôte 185 Désactiver le mode de chiffrement de l'hôte 185 Créer une machine virtuelle chiffrée 185 Cloner une machine virtuelle chiffrée 187 Chiffrer une machine ou un disque virtuel existant 188 Déchiffrer une machine ou un disque virtuel 189 Modifier la stratégie de chiffrement des disques virtuels 191 Résoudre les problèmes de clés manquantes 192 Déverrouiller les machines virtuelles verrouillées 194 Résoudre les problèmes du mode de chiffrement de l'hôte ESXi 195 Réactiver le mode de chiffrement de l'hôte ESXi 196 Définir le seuil d'expiration du certificat du serveur KMS 197 Chiffrement de machines virtuelles vSphere et vidages mémoire 197

Sécurisation des machines virtuelles avec le TPM 202

Ajouter un module de plate-forme sécurisée virtuel à une machine virtuelle 204 Activer le module de plate-forme sécurisée virtuel pour une machine virtuelle existante 205 Supprimer le module de plate-forme sécurisée virtuel d'une machine virtuelle 206 Identifier les machines virtuelles activées par la plate-forme sécurisée virtuelle 206 Afficher les certificats de périphérique de module vTPM 207 Exporter et remplacer les certificats des périphériques vTPM 208

VMware, Inc. 4

Page 5

Sécurité vSphere

Sécurisation des systèmes d'exploitation invités Windows avec la sécurité

basée sur la virtualisation 209

Recommandations sur la sécurité basée sur la virtualisation 210 Activer la sécurité basée sur la virtualisation sur une machine virtuelle 211 Activer la sécurité basée sur la virtualisation sur une machine virtuelle existante 212 Activer la sécurité basée sur la virtualisation sur le système d'exploitation invité 213 Désactiver la sécurité basée sur la virtualisation 213 Identifier les machines virtuelles sur lesquelles la sécurité basée sur la virtualisation est activée 214

Sécurisation de la mise en réseau vSphere 215

Introduction à la sécurité du réseau vSphere 215 Sécurisation du réseau avec des pare-feu 217 Sécuriser le commutateur physique 220 Sécurisation des ports du commutateur standard à l'aide de stratégies de sécurité 221 Sécuriser les commutateurs vSphere standard 221 Protection des commutateurs standard et VLAN 224 Sécuriser les vSphere Distributed Switches et les groupes de ports distribués 225 Sécurisation des machines virtuelles avec des VLAN 227 Création de plusieurs réseaux sur un hôte ESXi 229 Sécurité du protocole Internet 231 Garantir une configuration SNMP appropriée 235 Meilleures pratiques en matière de sécurité de la mise en réseau vSphere 236

Meilleures pratiques concernant plusieurs composants vSphere 242

Synchronisation des horloges sur le réseau vSphere 242 Meilleures pratiques en matière de sécurité du stockage 246 Vérifier que l'envoi des données de performances de l'hôte aux invités est désactivé 250 Configuration de délais d'expiration pour ESXi Shell et vSphere Web Client 250

Gestion de la configuration du protocole TLS avec l'utilitaire de configuration de

TLS 252

Ports prenant en charge la désactivation des versions TLS 252 Activation ou désactivation des versions de TLS dans vSphere 254 Effectuer une sauvegarde manuelle facultative 255 Activer ou désactiver les versions TLS sur les systèmes vCenter Server 256 Activer ou désactiver les versions de TLS sur les hôtes ESXi 257 Activer ou désactiver les versions de TLS sur les systèmes Platform Services Controller externes 259 Analyser vCenter Server pour les protocoles TLS activés 261 Restaurer les modifications de l'utilitaire de configuration TLS 261 Activer ou désactiver les versions de TLS sur vSphere Update Manager sous Windows 263

VMware, Inc. 5

Page 6

Sécurité vSphere

Privilèges définis 268

Privilèges d'alarmes 269 Privilèges Auto Deploy et privilèges de profil d'image 270 Privilèges de certificats 272 Privilèges de bibliothèque de contenu 272 Privilèges d'opérations de chiffrement 274 Privilèges de centre de données 276 Privilèges de banque de données 277 Privilèges de cluster de banques de données 278 Privilèges de Distributed Switch 278 Privilèges de gestionnaire d'agent ESX 279 Privilèges d'extension 280 Privilèges de fournisseur de statistiques externes 280 Privilèges de dossier 280 Privilèges globaux 281 Privilèges de fournisseur de mises à jour de santé 282 Privilèges CIM d'hôte 282 Privilèges de configuration d'hôte 282 Inventaire d'hôte 284 Privilèges d'opérations locales d'hôte 285 Privilèges de réplication d'hôte vSphere 285 Privilèges de profil d'hôte 286 Privilèges de réseau 286 Privilèges de performances 287 Privilèges d'autorisations 287 Privilèges de stockage basé sur le profil 288 Privilèges de ressources 288 Privilèges de tâche planifiée 289 Privilèges de sessions 290 Privilèges de vues de stockage 290 Privilèges de tâches 291 Privilèges Transfer Service 291 Privilèges de configuration de machine virtuelle 291 Privilèges d'opérations d'invité de machine virtuelle 293 Privilèges d'interaction de machine virtuelle 295 Privilèges d'inventaire de machine virtuelle 304 Privilèges de provisionnement de machine virtuelle 304 Privilèges de configuration de services de machine virtuelle 306 Privilèges de gestion des snapshots d'une machine virtuelle 307 Privilèges vSphere Replication de machine virtuelle 307 Privilèges du groupe dvPort 308 Privilèges de vApp 308

VMware, Inc. 6

Page 7

Sécurité vSphere

Privilèges vServices 310 Privilèges de balisage vSphere 310

VMware, Inc. 7

Page 8

À propos de la sécurité de vSphere

Sécurité vSphere fournit des informations sur la sécurisation de votre environnement vSphere® pour VMware® vCenter® Server et VMware ESXi.

Pour vous aider à protéger votre environnement vSphere, cette documentation décrit les fonctionnalités de sécurité disponibles et les mesures à prendre pour protéger votre environnement des attaques.

Tableau 1. Faits saillants sur

Sécurité vSphere

Rubriques Points forts du contenu

Gestion des autorisations et des utilisateurs

Fonctionnalités relatives à la sécurité de l'hôte

Modèle d'autorisations (rôles, groupes et objets).

Création de rôles personnalisés.

Définition des autorisations.

Gestion des autorisations globales.

Mode de verrouillage et autres fonctionnalités de profil de sécurité.

Authentification des hôtes par carte à puce.

vSphere Authentication Proxy.

Démarrage sécurisé UEFI.

TPM (Trusted Platform Module).

Chiffrement des machines virtuelles

Comment fonctionne le chiffrement des machines virtuelles ?

Configuration de KMS.

Chiffrement et déchiffrement des machines virtuelles.

Dépannage et meilleures pratiques.

Sécurité du système d'exploitation invité

vTPM (Virtual Trusted Platform Module)

Sécurité basée sur la virtualisation (VBS).

Gestion de la configuration du protocole TLS Modification de la configuration du protocole TLS à l'aide d'un

utilitaire de ligne de commande.

Meilleures pratiques en matière de sécurité et de sécurisation renforcée

Meilleures pratiques et avis des experts en sécurité VMware.

Sécurité de vCenter Server

Sécurité de l'hôte

Sécurité des machines virtuelles

Sécurité de la mise en réseau

Privilèges vSphere Liste complète de tous les privilèges vSphere pris en charge

dans cette version.

VMware, Inc. 8

Page 9

Sécurité vSphere

Documentation connexe

Un document complément, Administration de Platform Services Controller , explique comment utiliser les services de Platform Services Controller, par exemple pour gérer l'authentification avec vCenter Single Sign-On et pour gérer les certificats dans l'environnement vSphere.

Outre ces documents, VMware publie un Guide de sécurisation renforcée pour chaque version de vSphere. Ces guides sont disponibles à la page http://www.vmware.com/security/hardening-guides.html. Le Guide de sécurisation renforcée est une feuille de calcul comprenant des entrées pour différents problèmes potentiels de sécurité. Il offre des éléments pour trois profils de risque. Ce document Sécurité vSphere ne contient pas d'informations concernant le profil de risque 1 (environnement imposant une sécurité maximale, comme les installations gouvernementales top secrètes).

Public cible

Ces informations sont destinées aux administrateurs système Windows ou Linux expérimentés qui maîtrisent les technologies de machine virtuelle et les opérations de centre de données.

vSphere Web Client et vSphere Client (client basé sur HTML5)

Les instructions relatives aux tâches présentées dans ce guide se basent sur vSphere Web Client. Vous pouvez également exécuter la plupart des tâches de ce guide en utilisant vSphere Client. La terminologie, la topologie et le workflow de l'interface utilisateur de vSphere Client correspondent fidèlement aux aspects et éléments de l'interface utilisateur de vSphere Web Client. Vous pouvez appliquer les instructions de vSphere Web Client à vSphere Client sauf mention du contraire.

Remarque Dans vSphere 6.7, la plupart des fonctionnalités de vSphere Web Client sont implémentées

dans vSphere Client. Pour obtenir une liste actualisée des fonctionnalités non prises en charge, consultez le Guide de mise à jour des fonctionnalités de vSphere Client.

VMware, Inc. 9

Page 10

Sécurité dans l'environnement

vSphere 1

Les composants d'un environnement vSphere sont sécurisés d'origine par plusieurs fonctionnalités telles que l'authentification, l'autorisation, un pare-feu sur chaque hôte ESXi, etc. Vous pouvez modifier la configuration par défaut de plusieurs manières. Vous pouvez notamment définir des autorisations sur des objets vCenter, ouvrir des ports de pare-feu ou modifier les certificats par défaut. Vous pouvez prendre des mesures de sécurité sur différents objets dans la hiérarchie d'objets vCenter, comme les systèmes vCenter Server, les hôtes ESXi, les machines virtuelles et les objets du réseau et de stockage.

Une présentation globale des différentes parties de vSphere à surveiller vous aide à planifier votre stratégie de sécurité. Vous pouvez également tirer parti d'autres ressources de sécurité de vSphere sur le site Web VMware.

Ce chapitre aborde les rubriques suivantes :

Sécurisation de l'hyperviseur ESXi

Sécurisation des systèmes vCenter Server et services associés

Sécurisation des machines virtuelles

Sécurisation de la couche de mise en réseau virtuelle

Mots de passe dans votre environnement vSphere

Meilleures pratiques en matière de sécurité et ressources de sécurité

Sécurisation de l'hyperviseur ESXi

L'hyperviseur ESXi est sécurisé par défaut. Vous pouvez renforcer la protection des hôtes ESXi en utilisant le mode de verrouillage et d'autres fonctionnalités intégrées. À des fins d'uniformité, vous pouvez définir un hôte de référence et laisser tous les hôtes en synchronisation avec le profil de l'hôte de référence. Vous pouvez également protéger votre environnement en effectuant une gestion chiffrée, qui garantit que les modifications sont appliquées à tous les hôtes.

VMware, Inc.

Page 11

Sécurité vSphere

Vous pouvez renforcer la protection des hôtes ESXi qui sont gérés par vCenter Server en effectuant les actions suivantes. Consultez le livre blanc Sécurité de VMware vSphere Hypervisor pour accéder à des informations de fond et des détails.

Limiter l'accès à ESXi Par défaut, les services ESXi Shell et SSH ne s'exécutent pas et seul

l'utilisateur racine peut se connecter à l'interface utilisateur de la console directe (DCUI). Si vous décidez d'activer l'accès à ESXi ou SSH, vous pouvez définir des délais d'expiration pour limiter le risque d'accès non autorisé.

Les hôtes pouvant accéder à l'hôte ESXi doivent disposer d'autorisations de gestion de l'hôte. Ces autorisations se définissent sur l'objet hôte du système vCenter Server qui gère l'hôte.

Utiliser des utilisateurs nommés et le moindre privilège

Réduire le nombre de ports de pare-feu ESXi ouverts

Automatiser la gestion des hôtes ESXi

Par défaut, l'utilisateur racine peut effectuer de nombreuses tâches. N'autorisez pas les administrateurs à se connecter à l'hôte ESXi en utilisant le compte d'utilisateur racine. Au lieu de cela, créez des utilisateurs Administrateur nommés à partir de vCenter Server et attribuez-leur le rôle d'administrateur. Vous pouvez également attribuer à ces utilisateurs un rôle personnalisé. Reportez-vous à la section Créer un rôle personnalisé.

Si vous gérez les utilisateurs directement sur l'hôte, les options de gestion des rôles sont limitées. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.

Par défaut, les ports de pare-feu de votre hôte ESXi sont uniquement ouverts lorsque vous démarrez un service correspondant. Vous pouvez utiliser les commandes de vSphere Web Client, ESXCLI ou PowerCLI pour vérifier et gérer l'état des ports du pare-feu.

Reportez-vous à la section ESXi.

Parce qu'il est souvent important que les différents hôtes d'un même centre de données soient synchronisés, utilisez l'installation basée sur scripts ou vSphere Auto Deploy pour provisionner les hôtes. Vous pouvez gérer les hôtes à l'aide de scripts. Les profils d'hôte sont une alternative à la gestion chiffrée. Vous définissez un hôte de référence, exportez le profil d'hôte et appliquez celui-ci à tous les hôtes. Vous pouvez appliquer le profil d'hôte directement ou dans le cadre du provisionnement avec Auto Deploy.

Consultez Utiliser des scripts pour gérer des paramètres de configuration

d'hôte et Installation et configuration de vCenter Server pour plus

d'informations sur vSphere Auto Deploy.

VMware, Inc. 11

Page 12

Sécurité vSphere

Exploiter le mode de verrouillage

Vérifier l'intégrité du module VIB

Gérer les certificats ESXi

En mode de verrouillage, les hôtes ESXi sont, par défaut, uniquement accessibles par le biais de vCenter Server. À partir de vSphere 6.0, vous avez le choix entre un mode de verrouillage strict et un mode de verrouillage normal. Vous pouvez également définir des utilisateurs exceptionnels pour permettre un accès direct aux comptes de service tels que les agents de sauvegarde.

Reportez-vous à la section Mode verrouillage.

Un niveau d'acceptation est associé à chaque module VIB. Vous pouvez ajouter un VIB à un hôte ESXi uniquement si son niveau d'acceptation est identique ou supérieur au niveau d'acceptation de l'hôte. Vous ne pouvez pas ajouter un VIB CommunitySupported ou PartnerSupported à un hôte à moins d'avoir explicitement modifié le niveau d'acceptation de l'hôte.

Reportez-vous à la section Vérifier les niveaux d'acceptation des hôtes et

des fichiers VIB.

Dans vSphere 6.0 et version ultérieure, VMware Certificate Authority (VMCA) provisionne chaque hôte ESXi à l'aide d'un certificat signé dont l'autorité de certification racine par défaut est VMCA. Si la stratégie de l'entreprise l'exige, vous pouvez remplacer les certificats existants par des certificats signés par une autorité de certification d'entreprise ou tierce.

Envisager l'authentification par carte à puce

Envisager le verrouillage des comptes ESXi

Reportez-vous à la section Gestion de certificats pour les hôtes ESXi.

À partir de vSphere 6.0, ESXi prend en charge l'utilisation de l'authentification par carte à puce plutôt que l'authentification par nom d'utilisateur et mot de passe. Pour une sécurité renforcée, vous pouvez configurer l'authentification par carte à puce. L'authentification à deux facteurs est également prise en charge pour vCenter Server.

Reportez-vous à la section Configuration de l'authentification par carte à

puce pour ESXi.

À partir de vSphere 6.0, le verrouillage des comptes est pris en charge pour l'accès via SSH et vSphere Web Services SDK. Par défaut, un nombre maximal de 10 tentatives de connexion échouées est autorisé avant le verrouillage du compte. Par défaut, le compte est déverrouillé au bout de deux minutes.

Remarque L'interface de console directe (DCUI) et ESXi Shell ne

prennent pas en charge le verrouillage de compte.

Reportez-vous à la section Verrouillage des mots de passe et des comptes

ESXi.

Les considérations de sécurité pour les hôtes autonomes sont identiques, bien que les tâches de gestion puissent différer. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.

VMware, Inc. 12

Page 13

Sécurité vSphere

Sécurisation des systèmes vCenter Server et services associés

Votre système vCenter Server et les services associés sont protégés par l'authentification via vCenter Single Sign-On, ainsi que par l'autorisation via le modèle d'autorisations vCenter Server. Vous pouvez modifier le comportement par défaut et prendre des mesures supplémentaires pour limiter l'accès à votre environnement.

Lorsque vous protégez votre environnement vSphere, tenez compte du fait que tous les services associés aux instances de vCenter Server doivent être protégés. Dans certains environnements, vous pouvez protéger plusieurs instances de vCenter Server et une ou plusieurs instances de Platform Services Controller.

Renforcer toutes les machines hôtes vCenter

En savoir plus sur le modèle de certificat vCenter

Configurer vCenter Single Sign-On

Pour protéger votre environnement vCenter, vous devez commencer par renforcer chaque machine qui exécute vCenter Server ou un service associé. Ceci s'applique aussi bien à une machine physique qu'à une machine virtuelle. Installez toujours les derniers correctifs de sécurité pour votre système d'exploitation et mettez en œuvre les meilleures pratiques standard de l'industrie pour protéger la machine hôte.

Par défaut, l'autorité de certification VMware provisionne chaque hôte ESXi, chaque machine de l'environnement et chaque utilisateur de solution à l'aide d'un certificat signé par VMCA (VMware Certificate Authority). L'environnement fourni est prêt à l'emploi, mais vous pouvez modifier le comportement par défaut si la stratégie de l'entreprise l'exige. Pour plus d'informations, reportez-vous à la documentation Administration de Platform Services Controller .

Pour une protection supplémentaire, supprimez explicitement les certificats révoqués ou qui ont expiré, ainsi que les installations qui ont échoué.

vCenter Server et les services associés sont protégés par la structure d'authentification vCenter Single Sign-On. Lors de la première installation des logiciels, vous devez spécifier un mot de passe pour l'administrateur du domaine vCenter Single Sign-On (par défaut, administrator@vsphere.local). Seul ce domaine est disponible initialement comme source d'identité. Vous pouvez ajouter d'autres sources d'identité (Active Directory ou LDAP) et définir une source d'identité par défaut. Dorénavant, les utilisateurs qui peuvent s'authentifier auprès d'une de ces sources d'identité ont la possibilité d'afficher des objets et d'effectuer des tâches, dans la mesure où ils y ont été autorisés. Pour plus d'informations, reportez-vous à la documentation Administration de Platform Services Controller .

VMware, Inc. 13

Page 14

Sécurité vSphere

Attribuer des rôles à des utilisateurs ou groupes nommés

Configurer NTP Configurez NTP pour chaque nœud de votre environnement.

Pour optimiser la journalisation, chaque autorisation octroyée pour un objet peut être associée à un utilisateur ou groupe nommé, ainsi qu'à un rôle prédéfini ou personnalisé. Le modèle d'autorisations vSphere 6.0 procure une grande flexibilité en offrant la possibilité d'autoriser les utilisateurs et les groupes de diverses façons. Reportez-vous aux sections Présentation

des autorisations dans vSphere et Privilèges requis pour les tâches courantes.

Limitez les privilèges d'administrateur et l'utilisation du rôle d'administrateur. Dans la mesure du possible, évitez d'utiliser l'utilisateur Administrateur anonyme.

L'infrastructure de certificats exige un horodatage précis et ne fonctionne correctement que si les nœuds sont synchronisés.

Reportez-vous à Synchronisation des horloges sur le réseau vSphere.

Sécurisation des machines virtuelles

Pour sécuriser vos machines virtuelles, appliquez tous les correctifs appropriés aux systèmes d'exploitation invités et protégez votre environnement, de même que vous protégez votre machine physique. Pensez à désactiver toutes les fonctionnalités inutiles, à minimiser l'utilisation de la console de machine virtuelle et à suivre toute autre meilleure pratique.

Protéger le système d'exploitation invité

Désactiver les fonctionnalités inutiles

Utiliser les modèles et la gestion basée sur des scripts

Pour protéger votre système d'exploitation invité, assurez-vous qu'il utilise les correctifs les plus récents et, le cas échéant, des applications de logiciel anti-espion et anti-programme malveillant. Reportez-vous à la documentation du fournisseur de votre système d'exploitation invité et, le cas échéant, à d'autres informations disponibles dans des manuels ou sur Internet pour ce système d'exploitation.

Vérifiez que toute fonctionnalité inutile est désactivée pour minimiser les points d'attaque potentiels. De nombreuses fonctionnalités peu utilisées sont désactivées par défaut. Supprimez le matériel inutile et désactivez certaines fonctionnalités, comme HFSG (host-guest filesystem) ou la fonction de copier/coller entre la machine virtuelle et une console distante.

Reportez-vous à Désactiver les fonctions inutiles à l'intérieur des machines

virtuelles.

Les modèles de machine virtuelle vous permettent de configurer le système d'exploitation afin qu'il respecte des conditions requises spécifiques, puis de créer d'autres machines virtuelles avec les mêmes paramètres.

VMware, Inc. 14

Page 15

Sécurité vSphere

Pour modifier les paramètres de machine virtuelle après le déploiement initial, vous pouvez utiliser les scripts (PowerCLI, par exemple). Cette documentation explique comment effectuer des tâches à l'aide de l'interface utilisateur graphique. Vous pouvez utiliser des scripts au lieu de l'interface utilisateur graphique pour maintenir la cohérence de votre environnement. Dans les environnements de grande envergure, vous pouvez grouper les machines virtuelles dans des dossiers pour optimiser les scripts.

Pour plus d'informations sur les modèles, reportez-vous à la section Utiliser

des modèles pour déployer des machines virtuelles et au document

Administration d'une machine virtuelle vSphere. Pour plus d'informations sur PowerCLI, consultez la documentation de VMware PowerCLI.

Minimiser l'utilisation de la console de machine virtuelle

Activer le démarrage sécurisé UEFI

La console de machine virtuelle joue, pour la machine virtuelle, le même rôle que le moniteur sur un serveur physique. Les utilisateurs qui ont accès à une console de machine virtuelle ont accès à la gestion d'alimentation des machines virtuelles et aux contrôles de la connectivité des périphériques amovibles. Par conséquent, la console de machine virtuelle devient vulnérable aux attaques malveillantes sur une machine virtuelle.

À partir de vSphere 6.5, vous pouvez configurer votre machine virtuelle pour qu'elle utilise le démarrage UEFI. Si le système d'exploitation prend en charge le démarrage UEFI sécurisé, vous pouvez sélectionner cette option pour vos machines virtuelles pour plus de sécurité. Reportez-vous à

Activer ou désactiver le démarrage sécurisé UEFI pour une machine virtuelle.

Sécurisation de la couche de mise en réseau virtuelle

La couche de mise en réseau virtuelle comprend des adaptateurs réseau virtuels, des commutateurs virtuels, des commutateurs virtuels distribués, des ports et des groupes de ports. ESXi utilise la couche réseau virtuelle pour les communications entre les machines virtuelles et leurs utilisateurs. En outre, ESXi utilise cette couche de mise en réseau pour communiquer avec les SAN iSCSI, le stockage NAS, etc.

VMware, Inc. 15

Page 16

Sécurité vSphere

vSphere offre toutes les fonctionnalités pour garantir une infrastructure de mise en réseau sécurisée. Vous pouvez sécuriser séparément chacun des éléments de l'infrastructure (commutateurs virtuels, commutateurs virtuels distribués ou adaptateurs réseau virtuels, par exemple). En outre, tenez compte des directives suivantes, détaillées dans la section Chapitre 10 Sécurisation de la mise en réseau

vSphere.

Isoler le trafic réseau L'isolation du trafic réseau est essentielle pour un environnement ESXi

sécurisé. Des réseaux différents requièrent un accès et un niveau d'isolation distincts. Un réseau de gestion isole le trafic client, le trafic de l'interface de ligne de commande ou de l'API ou le trafic des logiciels tiers du trafic normal. Assurez-vous que seuls les administrateurs système, réseau et de la sécurité peuvent accéder au réseau de gestion.

Reportez-vous à Recommandations de sécurité pour la mise en réseau

d'ESXi.

Utiliser des pare-feu pour sécuriser les éléments du réseau virtuel

Envisager des stratégies de sécurité du réseau

Vous pouvez ouvrir et fermer les ports de pare-feu et sécuriser les différents éléments du réseau virtuel séparément. Pour les hôtes ESXi, les règles de pare-feu associent les services avec les pare-feu correspondants et peuvent ouvrir et fermer le pare-feu en fonction de l'état du service. Reportez-vous à ESXi.

Vous pouvez également ouvrir explicitement des ports sur les instances de Platform Services Controller et vCenter Server. Reportez-vous aux sections

Ports requis pour vCenter Server et l'instance de Platform Services Controller et Ports TCP et UDP supplémentaires pour vCenter Server.

Les stratégies de sécurité du réseau assurent la protection du trafic contre l'emprunt d'identité d'adresse MAC et l'analyse des ports indésirables. La règle de sécurité d'un commutateur standard ou distribué est mise en œuvre au niveau de la couche 2 (couche de liaison de données) de la pile de protocole réseau. Les trois éléments de la stratégie de sécurité sont le mode Proximité, les changements d'adresse MAC et les Transmissions forgées.

Les instructions sont disponibles dans la documentation Mise en réseau vSphere.

Sécuriser la mise en réseau de machines virtuelles

Les méthodes qui vous permettent de sécuriser la mise en réseau de machines virtuelles dépendent de plusieurs facteurs, notamment :

du système d'exploitation invité qui est installé ;

de l'utilisation d'un environnement approuvé pour les machines virtuelles.

Les commutateurs virtuels et les commutateurs virtuels distribués offrent un niveau de protection élevé lorsqu'ils sont utilisés avec d'autres mesures de sécurité courantes (installation de pare-feu, notamment).

VMware, Inc. 16

Page 17

Sécurité vSphere

Reportez-vous à Chapitre 10 Sécurisation de la mise en réseau vSphere.

Envisager les VLAN pour protéger votre environnement

Sécuriser les connexions du stockage virtualisé

ESXi prend en charge les VLAN IEEE 802.1q. Les VLAN vous permettent de segmenter un réseau physique. Vous pouvez les utiliser pour renforcer la protection de la configuration du stockage ou du réseau de machines virtuelles. Lorsque des VLAN sont utilisés, deux machines sur le même réseau physique ne peuvent pas s'envoyer mutuellement des paquets ni en recevoir, sauf s'ils se trouvent sur le même réseau VLAN.

Reportez-vous à Sécurisation des machines virtuelles avec des VLAN.

Une machine virtuelle stocke les fichiers du système d'exploitation, les fichiers de programme et d'autres données sur un disque virtuel. Chaque disque virtuel apparaît sur la machine virtuelle en tant que lecteur SCSI connecté au contrôleur SCSI. Une machine virtuelle n'a pas accès aux détails du stockage ni aux informations relatives au LUN sur lequel réside son disque virtuel.

Le système VMFS (Virtual Machine File System) combine un système de fichiers distribué et un gestionnaire de volumes qui présente les volumes virtuels à l'hôte ESXi. La sécurisation de la connexion avec le stockage relève de votre responsabilité. Par exemple, si vous utilisez un stockage iSCSI, vous pouvez configurer votre environnement pour utiliser le protocole CHAP. Si la stratégie de l'entreprise l'exige, vous pouvez configurer une authentification CHAP mutuelle. Utilisez vSphere Web Client ou les interfaces de ligne de commande pour configurer CHAP.

Reportez-vous à Meilleures pratiques en matière de sécurité du stockage.

Évaluer l'utilisation d'IPSec

De plus, déterminez si VMware NSX for vSphere est une solution adéquate pour sécuriser la couche de mise en réseau dans votre environnement.

ESXi prend en charge IPSec sur IPv6. Vous ne pouvez pas utiliser IPSec sur IPv4.

Reportez-vous à Sécurité du protocole Internet.

Mots de passe dans votre environnement vSphere

Les restrictions de mot de passe, l'expiration du mot de passe et le verrouillage du compte dans votre environnement vSphere dépendent de plusieurs facteurs : système visé par l'utilisateur, identité de l'utilisateur et mode de définition des stratégies.

Mots de passe d' ESXi

Les restrictions de mot de passe ESXi sont déterminées par le module PAM Linux pam_passwdqc. Pour le module pam_passwdqc, reportez-vous à la page du manuel Linux et à Verrouillage des mots de passe

et des comptes ESXi.

VMware, Inc. 17

Page 18

Sécurité vSphere

Mots de passe pour vCenter Server et autres services de vCenter

vCenter Single Sign-On gère l'authentification pour tous les utilisateurs qui se connectent à vCenter Server et à d'autres services de vCenter. Les restrictions de mot de passe, l'expiration du mot de passe et le verrouillage du compte dépendent du domaine de l'utilisateur et de l'identité de l'utilisateur.

Administrateur de vCenter Single Sign-On

Autres utilisateurs du domaine Single SignOn vCenter

Le mot de passe de l'administrateur vCenter Single Sign-On est administrator@vsphere.local par défaut ou administrator@mydomain si vous avez spécifié un domaine différent lors de l'installation. Ce mot de passe n'expire pas. À tous les autres niveaux, le mot de passe doit respecter les restrictions définies dans la stratégie de mot de passe vCenter Single Sign-On. Reportez-vous à Administration de Platform Services Controller pour plus de détails.

Si vous oubliez le mot de passe de cet utilisateur, recherchez dans le système de la base de connaissances VMware des informations sur la réinitialisation de ce mot de passe. Pour réinitialiser le mot de passe, des privilèges supplémentaires comme un accès racine sont nécessaires pour accéder au système vCenter Server.

Les mots de passe des autres utilisateurs vsphere.local ou des utilisateurs du domaine que vous avez spécifiés au cours de l'installation doivent respecter les restrictions qui sont définies par la stratégie de mot de passe et de verrouillage de vCenter Single Sign-On. Consultez Administration de Platform Services Controller pour plus d'informations. Ces mots de passe expirent après 90 jours par défaut. Les administrateurs peuvent modifier l'expiration dans le cadre de la stratégie de mot de passe.

Si vous oubliez votre mot de passe vsphere.local, un administrateur peut réinitialiser ce mot de passe à l'aide de la commande dir-cli.

Autres utilisateurs Les restrictions de mot de passe, l'expiration du mot de passe et le

verrouillage du compte de tous les autres utilisateurs sont déterminés par le domaine (source d'identité) auprès duquel l'utilisateur peut s'authentifier.

vCenter Single Sign-On prend en charge une source d'identité par défaut. Les utilisateurs peuvent se connecter au domaine correspondant à vSphere Web Client simplement avec leur nom d'utilisateur. Si des utilisateurs veulent se connecter à un domaine qui n'est pas le domaine par défaut, ils peuvent inclure le nom de domaine, c'est-à-dire spécifier utilisateur@domaine ou domaine\utilisateur. Les paramètres de mot de passe d'accès au domaine s'appliquent à chaque domaine.

VMware, Inc. 18

Page 19

Sécurité vSphere

Mots de passe pour les utilisateurs de l'interface utilisateur de la console directe de vCenter Server Appliance

vCenter Server Appliance est une machine virtuelle basée sur Linux préconfigurée et optimisée pour l'exécution de vCenter Server et des services associés sur Linux.

Lorsque vous déployez le dispositif vCenter Server Appliance, vous devez spécifier ces mots de passe.

Mot de passe de l'utilisateur racine du système d'exploitation Linux du dispositif.

Mot de passe de l'administrateur du domaine vCenter Single Sign-On, administrator@vsphere.local par défaut.

Vous pouvez modifier le mot de passe de l'utilisateur racine et effectuer d'autres tâches de gestion d'utilisateur local du dispositif vCenter Server Appliance depuis la console de celui-ci. Reportez-vous à Configuration de vCenter Server Appliance.

Meilleures pratiques en matière de sécurité et ressources de sécurité

Si vous suivez les meilleures pratiques, votre ESXi et vCenter Server peuvent être au moins aussi sûr qu'un environnement non virtualisé.

Ce manuel répertorie les meilleures pratiques pour les différents composants de votre infrastructure vSphere.

Tableau 1‑1. Meilleures pratiques de sécurité

Composant de vSphere Ressource

hôte ESXi Chapitre 3 Sécurisation des hôtes ESXi

Système vCenter Server Meilleures pratiques de sécurité de vCenter Server

Machine virtuelle Recommandations en matière de sécurité des machines

virtuelles

Mise en réseau vSphere Meilleures pratiques en matière de sécurité de la mise en

réseau vSphere

Ce manuel ne représente que l'une des sources dont vous avez besoin pour assurer la sécurité de l'environnement.

Les ressources de sécurité VMware, notamment les alertes et les téléchargements de sécurité, sont disponibles en ligne.

VMware, Inc. 19

Page 20

Sécurité vSphere

Tableau 1‑2. Ressources de sécurité VMware disponibles sur le Web

Rubrique Ressource

Stratégie de sécurité VMware, alertes de sécurité à jour, téléchargements de sécurité et discussions sur des thèmes liés à la sécurité.

Politique de l'entreprise en matière de réponse sécuritaire

Politique de support logiciel tiers http://www.vmware.com/support/policies/

Standards de sécurité et de conformité, ainsi que solutions partenaires et contenu détaillé sur la virtualisation et la conformité

http://www.vmware.com/go/security

http://www.vmware.com/support/policies/security_response.html

VMware s'engage à vous aider à maintenir un environnement sécurisé. Dans ce cadre, les problèmes de sécurité sont corrigés rapidement. La politique VMware en matière de réponse sécuritaire fait état de notre engagement lié à la résolution d'éventuelles vulnérabilités de nos produits.

VMware prend en charge un grand nombre de systèmes de stockage et d'agents logiciels (tels que les agents de sauvegarde ou les agents de gestion système). Vous trouverez la liste des agents, outils et autres logiciels prenant en charge ESXi en cherchant sur

http://www.vmware.com/vmtn/resources/ les guides de compatibilité ESXi.

Il existe sur le marché un nombre de produits et de configurations tel quel VMware ne peut pas tous les tester. Si un produit ou une configuration spécifique ne figure pas dans l'un des guides de compatibilité, contactez le Support technique, qui pourra vous aider à résoudre les problèmes rencontrés ; en revanche, il ne pourra pas vous garantir que ce produit ou cette configuration peut être utilisé. Vous devez toujours évaluer les risques de sécurité liés aux produits ou aux configurations non pris en charge.

http://www.vmware.com/go/compliance

Informations sur les certifications et les validations de sécurité telles que CCEVS et FIPS pour les différentes versions des composants de vSphere.

Guides de sécurisation renforcée pour les différentes versions de vSphere et d'autres produits VMware.

Livre blanc Sécurité de VMware vSphere

Hypervisor

https://www.vmware.com/support/support-resources/certifications.html

https://www.vmware.com/support/support-resources/hardening-guides.html

http://www.vmware.com/files/pdf/techpaper/vmw-wp-secrty-vsphr-hyprvsruslet-101.pdf

VMware, Inc. 20

Page 21

Tâches de gestion des utilisateurs et des autorisations

de vSphere 2

L'authentification et l'autorisation gouvernent l'accès. vCenter Single Sign-On prend en charge l'authentification, ce qui signifie qu'il détermine si un utilisateur peut accéder à l'intégralité des composants vSphere ou pas. Chaque utilisateur doit également être autorisé à afficher ou à manipuler des objets vSphere.

vSphere prend en charge différents mécanismes d'autorisation abordés dans Présentation des

autorisations dans vSphere. Cette section aborde essentiellement le fonctionnement du modèle

d'autorisation vCenter Server et le mode d'exécution des tâches de gestion des utilisateurs.

vCenter Server permet un contrôle plus complet des permissions en général grâce aux autorisations et aux rôles. Lorsque vous attribuez une autorisation à un objet de la hiérarchie d'objets de vCenter Server, vous spécifiez les privilèges dont l'utilisateur ou le groupe dispose sur cet objet. Pour spécifier les privilèges, vous utilisez des rôles, qui sont des ensembles de privilèges.

À l'origine, seul l'administrateur du domaine vCenter Single Sign-On, administrator@vsphere.local par défaut, est autorisé à se connecter au système vCenter Server. Cet utilisateur peut alors procéder comme suit :

1 Ajouter une source d'identité dans laquelle les utilisateurs et les groupes sont définis sur vCenter

Single Sign-On. Consultez la documentation de Administration de Platform Services Controller .

2 Accordez des privilèges à un utilisateur ou à un groupe en sélectionnant un objet tel qu'une machine

virtuelle ou un système vCenter Server et en attribuant un rôle de cet objet à l'utilisateur ou au groupe.

Rôles, privilèges et autorisations (http://link.brightcove.com/services/player/bcpid2296383276001?

bctid=ref:video_roles_privileges_permissions_vsphere_web_client)

Ce chapitre aborde les rubriques suivantes :

Présentation des autorisations dans vSphere

Gestion des autorisations des composants vCenter

Autorisations globales

Utilisation des rôles pour assigner des privilèges

Meilleures pratiques pour les rôles et les autorisations

VMware, Inc.

Page 22

Sécurité vSphere

Privilèges requis pour les tâches courantes

Présentation des autorisations dans vSphere

vSphere prend en charge plusieurs modèles avec un contrôle précis pour déterminer si un utilisateur est autorisé à effectuer une tâche. vCenter Single Sign-On utilise l'appartenance au groupe dans un groupe vCenter Single Sign-On afin de décider de ce que vous êtes autorisé à faire. Votre rôle sur un objet ou votre autorisation globale détermine si vous êtes autorisé à effectuer d'autres tâches dans vSphere.

Présentation des autorisations

Dans vSphere 6.0 et versions ultérieures, des utilisateurs privilégiés peuvent accorder à d'autres utilisateurs des autorisations leur permettant d'effectuer des tâches. Vous pouvez exploiter les autorisations globales ou les autorisations vCenter Server locales pour permettre à d'autres utilisateurs d'utiliser des instances vCenter Server individuelles.

Autorisations vCenter Server

Autorisations globales Les autorisations globales sont appliquées à un objet racine global qui peut

Le modèle d'autorisation des systèmes vCenter Server repose sur l'attribution d'autorisations à des objets dans la hiérarchie d'objets. Chaque autorisation accorde à un utilisateur ou à un groupe un ensemble de privilèges, c'est-à-dire un rôle sur l'objet sélectionné. Par exemple, vous pouvez sélectionner une machine virtuelle et sélectionner Ajouter une autorisation pour attribuer un rôle à un groupe d'utilisateurs dans un domaine que vous sélectionnez. Ce rôle accorde à ces utilisateurs les privilèges correspondants sur cette VM.

couvrir plusieurs solutions à la fois. Par exemple, si vCenter Server et vRealize Orchestrator sont installés, vous pouvez utiliser les autorisations globales. Par exemple, vous pouvez accorder à un groupe d'utilisateurs des autorisations de lecture sur tous les objets dans les deux hiérarchies d'objets.

Les autorisations globales sont répliquées dans le domaine vsphere.local. Les autorisations globales ne fournissent pas d'autorisations pour les services gérés via des groupes vsphere.local. Reportez-vous à la section

Autorisations globales.

Appartenance au groupe dans les groupes vCenter Single Sign-On

Autorisations d'hôte ESXi local

VMware, Inc. 22

Les membres d'un groupe vsphere.local peuvent effectuer certaines tâches. Par exemple, vous pouvez effectuer la gestion de licences si vous êtes membre du groupe LicenseService.Administrators. Consultez la documentation de Administration de Platform Services Controller .

Si vous gérez un système ESXi autonome qui n'est pas géré par un système vCenter Server, vous pouvez attribuer l'un des rôles prédéfinis aux utilisateurs. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.

Page 23

Sécurité vSphere

Pour les hôtes gérés, attribuez des rôles à l'objet hôte ESXi dans l'inventaire vCenter Server.

Présentation du modèle d'autorisation de niveau objet

Vous autorisez un utilisateur ou un groupe d'utilisateurs à effectuer des tâches sur les objets vCenter en utilisant des autorisations sur l'objet. Le modèle d'autorisation vSphere repose sur l'attribution d'autorisations à des objets dans la hiérarchie d'objets vSphere. Chaque autorisation accorde un ensemble de privilèges à un utilisateur ou à un groupe, c'est-à-dire un rôle pour l'objet sélectionné. Par exemple, un groupe d'utilisateurs peut avoir le rôle lecture seule sur une machine virtuelle et le rôle d'administrateur sur une autre machine virtuelle.

Les concepts suivants sont importants.

Autorisations Chaque objet de la hiérarchie des objets vCenter Server a des

autorisations associées. Chaque autorisation spécifie pour un groupe ou un utilisateur les privilèges dont dispose ce groupe ou cet utilisateur sur l'objet.

Utilisateurs et groupes Sur les systèmes vCenter Server, vous ne pouvez attribuer des privilèges

qu'aux utilisateurs ou aux groupes d'utilisateurs authentifiés. Les utilisateurs sont authentifiés via vCenter Single Sign-On. Les utilisateurs et les groupes doivent être définis dans la source d'identité utilisée par vCenter Single Sign-On pour l'authentification. Définissez les utilisateurs et les groupes à l'aide des outils de votre source d'identité, par exemple Active Directory.

Privilèges Les privilèges sont des contrôles d'accès précis. Vous pouvez regrouper

ces privilèges dans des rôles, que vous pouvez ensuite mapper à des utilisateurs ou à des groupes.

Rôles Les rôles sont des ensembles de privilèges. Les rôles vous permettent

d'attribuer des autorisations sur un objet en fonction d'un ensemble de tâches par défaut exécutées par les utilisateurs. Les rôles par défaut, par exemple Administrateur, sont prédéfinis sur vCenter Server et ne peuvent pas être modifiés. D'autres rôles, par exemple Administrateur de pool de ressources, sont des exemples de rôles prédéfinis. Vous pouvez créer des rôles personnalisés totalement nouveaux, ou cloner et modifier des exemples de rôles. Reportez-vous à la section Créer un rôle personnalisé.

VMware, Inc. 23

Page 24

Autorisation

Objet vSphere

Utilisateur ou groupe

Rôle

Privilège

Sécurité vSphere

Figure 2‑1. Autorisations de vSphere

Pour attribuer des autorisations à un objet, suivez les étapes suivantes :

1 Sélectionnez l'objet auquel vous souhaitez appliquer l'autorisation dans la hiérarchie des objets

vCenter.

2 Sélectionnez le groupe ou l'utilisateur qui doit avoir des privilèges sur l'objet.

3 Sélectionnez des privilèges individuels ou un rôle, c'est-à-dire un ensemble de privilèges, que le

groupe ou l'utilisateur doit avoir sur l'objet.

Par défaut, les autorisations se propagent, c'est-à-dire que le groupe ou l'utilisateur a le rôle sélectionné sur l'objet sélectionné et ses objets enfants.

vCenter Server offre des rôles prédéfinis qui combinent les ensembles de privilèges fréquemment utilisés. Vous pouvez également créer des rôles personnalisés en combinant un ensemble de rôles.

Les autorisations doivent souvent être définies à la fois sur un objet source et un objet de destination. Par exemple, si vous déplacez une machine virtuelle, vous devez disposer de privilèges sur cette machine virtuelle ainsi que sur le centre de données de destination.

Consultez les informations suivantes.

Pour savoir comment... Reportez-vous à...

Création de rôles personnalisés. Créer un rôle personnalisé

Tous les privilèges et objets auxquels vous pouvez appliquer les privilèges

Ensembles de privilèges requis sur des objets différents pour des tâches différentes.

Chapitre 13 Privilèges définis

Privilèges requis pour les tâches courantes

Le modèle d'autorisations des hôtes ESXi autonomes est plus simple. Reportez-vous à la section

Attribution de privilèges pour les hôtes ESXi.

VMware, Inc. 24

Page 25

Sécurité vSphere

Héritage hiérarchique des autorisations

Quand vous assignez une autorisation à un objet, vous pouvez choisir si l'autorisation propage la hiérarchie d'objet. Vous définissez la propagation pour chaque autorisation. La propagation n'est pas universellement appliquée. Les autorisations définies pour un objet enfant ignorent toujours les autorisations qui sont propagées à partir des objets parent.

La figure illustre la hiérarchie d'inventaire et les chemins par lesquels les autorisations peuvent être propagées.

Remarque Les autorisations globales prennent en charge l'attribution de privilèges dans plusieurs

solutions à partir d'un objet racine global. Reportez-vous à Autorisations globales.

VMware, Inc. 25

Page 26

modèle

hôte

VDS

banque de

cluster

vApp

vApp vApp

machine

virtuelle

machine

virtuelle

pool de

ressources

pool de

ressources

machine

virtuelle

machine

virtuelle

pool de

ressources

commutateur

standard

cluster de

banques de

groupe

distribués

Dossier de VM dossier d'hôte

centre de données

vCenter Server

(niveau de l'instance de vCenter Server)

dossier

réseau

dossier de banque

de données

dossier de centre

de données

objet racine

(niveau d'autorisations global)

catégorie de

balise

bibliothèque

élément de

balises

données

de ports

données

bibliothèque

de contenu

Sécurité vSphere

Figure 2‑2. Hiérarchie d'inventaire de vSphere

La plupart des objets d'inventaire héritent des autorisations d'un objet parent unique dans la hiérarchie. Par exemple, un centre de données hérite des autorisations de son dossier parent du centre de données ou du centre de données de parent. Les machines virtuelles héritent des autorisations du dossier parent de machine virtuelle et simultanément l'hôte, le cluster ou le pool de ressources parent.

Par exemple, pour définir des autorisations pour un Distributed Switch et ses groupes de ports distribués associés, définissez les autorisations sur un objet parent, tel qu'un dossier ou un centre de données. Vous devez également sélectionner l'option pour propager ces autorisations aux objets enfant.

VMware, Inc. 26

Page 27

Sécurité vSphere

Les autorisations prennent plusieurs formes dans la hiérarchie :

Entités gérées Les utilisateurs privilégiés peuvent définir des autorisations sur des entités

gérées.

Clusters

Centres de données

Banques de données

Clusters de banques de données

Dossiers

Hôtes

Réseaux (excepté vSphere Distributed Switches)

Groupes de ports distribués

Pools de ressources

Modèles

Machines virtuelles

vSphere vApps

Entités globales Vous ne pouvez pas modifier les autorisations sur des entités qui dérivent

les autorisations du système vCenter Server racine.

Champs personnalisés

Licences

Rôles

Intervalles de statistiques

Sessions

Paramètres d'autorisation multiples

Les objets peuvent avoir des autorisations multiples, mais seulement une autorisation pour chaque utilisateur ou groupes. Par exemple, une autorisation peut spécifier que le groupe A dispose des privilèges d'administrateur sur un objet. Une autre autorisation peut spécifier que le groupe B peut avoir des privilèges d'administrateur de machines virtuelles sur le même objet.

Si un objet hérite des autorisations de deux objets parents, les autorisations d'un objet sont ajoutées à celles de l'autre objet. Par exemple, supposons qu'une machine virtuelle se trouve dans un dossier de machines virtuelles et qu'elle appartient également à un pool de ressources. Cette machine virtuelle hérite de tous les paramètres d'autorisation du dossier de machines virtuelles et du pool de ressources.

VMware, Inc. 27

Page 28

groupe B + rôle 2

l'utilisateur 1 a des privilèges du rôle 1 et du rôle 2

groupe A + rôle 1

VM A

VM B

Dossier VM

Sécurité vSphere

Les autorisations appliquées sur un objet enfant ignorent toujours les autorisations qui sont appliquées sur un objet parent. Reportez-vous à Exemple 2 : Autorisations d'enfant ignorant des autorisations de

parent.

Si des autorisations multiples de groupes sont définies sur le même objet et qu'un utilisateur appartient à au moins deux de ces groupes, deux situations sont possibles :

Aucune autorisation n'est définie directement sur l'objet pour l'utilisateur. Dans ce cas, l'utilisateur dispose des privilèges dont les groupes disposent sur cet objet.

Une autorisation est définie directement sur l'objet pour l'utilisateur. Dans ce cas, l'autorisation de l'utilisateur est prioritaire sur toutes les autorisations de groupe.

Exemple 1 : Héritage d'autorisations multiples

Cet exemple illustre comment un objet peut hériter d'autorisations multiples de groupes auxquels ont été accordés l'autorisation sur un objet parent.

Dans cet exemple, deux autorisations sont assignées sur le même objet pour deux groupes différents.

Le rôle 1 peut mettre des machines virtuelles sous tension.

Le rôle 2 peut prendre des snapshots de machines virtuelles.

On accorde au groupes A le rôle 1 sur le dossier de VM, avec l'autorisation définie pour propager aux objets enfant.

On accorde au groupes B le rôle 2 sur le dossier de VM, avec l'autorisation définie pour propager aux objets enfant.

Aucun privilège spécifique n'est attribué à l'utilisateur 1.

L'utilisateur 1, qui appartient aux groupes A et B, se connecte. L'utilisateur 1 peut mettre sous tension et prendre des snapshots de VM A et de VM B.

Figure 2‑3. Exemple 1 : Héritage d'autorisations multiples

Exemple 2 : Autorisations d'enfant ignorant des autorisations de parent

Cet exemple illustre comment les autorisations qui sont assignées sur un objet enfant peuvent ignorer les autorisations qui sont assignées sur un objet parent. Vous pouvez utiliser ce comportement de non prise en compte pour limiter l'accès client à des zones spécifiques de l'inventaire.

Dans cet exemple, des autorisations sont définies sur deux objets différents pour deux groupes différents.

Le rôle 1 peut mettre des machines virtuelles sous tension.

VMware, Inc. 28

Page 29

VM A

VM B

Dossier VM

groupe B + rôle 2

l'utilisateur 1 a des privilèges du rôle 1 seulement

l'utilisateur 1 a des privilèges du rôle 2 seulement

groupe A + rôle 1

VM A

VM B

Dossier de VM

utilisateur 1 + aucun accès

l'utilisateur 1 n'a aucun accès au dossier ou les machines virtuelles

groupes A + le rôle 1

Sécurité vSphere

Le rôle 2 peut prendre des snapshots de machines virtuelles.

On accorde au groupes A le rôle 1 sur le dossier de VM, avec l'autorisation définie pour propager aux objets enfant.

On accorde le groupes B le rôle 2 sur VM B.

L'utilisateur 1, qui appartient aux groupes A et B, se connecte. Puisque le rôle 2 est assigné à un point inférieur dans la hiérarchie que le rôle 1, il ignore le rôle 1 sur VM B. L'utilisateur 1 peut mettre sous tension VM A, mais ne peut pas prendre des snapshots. L'utilisateur 1 peut prendre des snapshots de VM B, mais ne peut pas les mettre sous tension.

Figure 2‑4. Exemple 2 : Autorisations d'enfant ignorant des autorisations de parent

Exemple 3 : Rôle d'utilisateur supprimant un rôle de groupe

Cet exemple illustre comment le rôle attribué directement à un utilisateur individuel remplace les privilèges associés à un rôle attribué à un groupe.

Dans cet exemple, les autorisations sont définies sur le même objet. Une autorisation associe un groupe à un rôle et l'autre l'autorisation associe un utilisateur individuel à un rôle. L'utilisateur est un membre du groupe.

Le rôle 1 peut mettre des machines virtuelles sous tension.

On accorde au groupes A le rôle 1 sur le dossier de VM.

On accorde à l'utilisateur 1 un rôle Aucun accès sur le dossier de VM.

L'utilisateur 1, qui appartient au groupes A, se connecte. Le rôle Aucun accès accordé à l'utilisateur 1 sur le dossier de VM remplace le rôle attribué au groupe. L'utilisateur 1 n'a aucun accès au dossier ou aux VM A et B. de VM.

Figure 2‑5. Exemple 3 : Autorisations d'utilisateurs ignorant des autorisations de groupes

VMware, Inc. 29

Page 30

Sécurité vSphere

Gestion des autorisations des composants vCenter

Une autorisation est définie sur une hiérarchie d'objets vCenter. Chaque autorisation associe l'objet à un groupe ou un utilisateur et aux rôles d'accès correspondants. Par exemple, vous pouvez sélectionner un objet de machine virtuelle, ajouter une autorisation qui accorde le rôle en lecture seule au Groupe 1 et ajouter une deuxième autorisation qui accorde le rôle d'administrateur à l'utilisateur 2.

En attribuant un rôle différent à un groupe d'utilisateurs sur différents objets, vous contrôlez les tâches que les utilisateurs peuvent effectuer dans votre environnement vSphere. Par exemple, pour autoriser un groupe à configurer la mémoire de l'hôte, sélectionnez l'hôte et ajoutez une autorisation qui accorde à ce groupe un rôle incluant le privilège Hôte.Configuration.Configuration mémoire.

Pour gérer les autorisations de vSphere Web Client, vous devez comprendre les concepts suivants :

Autorisations Chaque objet de la hiérarchie des objets vCenter Server a des

autorisations associées. Chaque autorisation spécifie pour un groupe ou un utilisateur les privilèges dont dispose ce groupe ou cet utilisateur sur l'objet.

Utilisateurs et groupes Sur les systèmes vCenter Server, vous ne pouvez attribuer des privilèges

Privilèges Les privilèges sont des contrôles d'accès précis. Vous pouvez regrouper

ces privilèges dans des rôles, que vous pouvez ensuite mapper à des utilisateurs ou à des groupes.

Rôles Les rôles sont des ensembles de privilèges. Les rôles vous permettent

Vous pouvez attribuer des autorisations à des objets sur différents niveaux de la hiérarchie. Vous pouvez, par exemple, attribuer des autorisations à un objet d'hôte ou de dossier qui inclut tous les objets d'hôte. Reportez-vous à Héritage hiérarchique des autorisations. Vous pouvez également attribuer des autorisations à un objet racine global pour appliquer les autorisations à l'ensemble des objets dans toutes les solutions. Reportez-vous à Autorisations globales.

VMware, Inc. 30

Page 31

Sécurité vSphere

Ajouter une autorisation à un objet d'inventaire

Après avoir créé des utilisateurs et des groupes et avoir défini des rôles, vous devez affecter les utilisateurs et les groupes et leurs rôles aux objets appropriés d'inventaire. Vous pouvez attribuer les mêmes autorisations à plusieurs objets en même temps en déplaçant les objets vers un dossier et en définissant les autorisations du dossier.

Lorsque vous attribuez des autorisations dans vSphere Client, les noms des utilisateurs et des groupes doivent correspondre exactement à ceux d'Active Directory, y compris la casse. Si vous avez effectué une mise à niveau à partir de versions antérieures de vSphere, vérifiez le respect de la casse si vous rencontrez des problèmes avec les groupes.

Prérequis

Le rôle qui vous est attribué sur l'objet dont vous souhaitez modifier les autorisations doit inclure le privilège Autorisations.Modifier autorisation.

Procédure

1 Accédez à l'objet auquel vous souhaitez attribuer des autorisations dans le navigateur d'objets de

vSphere Client.

2 Cliquez sur l'onglet Autorisations.

3 Cliquez sur l'icône Ajouter, puis cliquez sur Ajouter.

4 Sélectionnez l'utilisateur ou le groupe qui disposera des privilèges définis par le rôle sélectionné.

a Dans le menu déroulant Domaine, sélectionnez le domaine où se trouve l'utilisateur ou le

groupe.

b Entrez un nom dans la fenêtre de recherche ou sélectionnez un nom dans la liste.

Le système recherche des noms d'utilisateur, des noms de groupe et des descriptions.

c Sélectionnez l'utilisateur ou le groupe, puis cliquez sur Ajouter.

Le nom est ajouté soit à la liste Utilisateurs soit à la liste groupes.

d (Facultatif) Cliquez sur Vérifier les noms pour vérifier que l'utilisateur ou le groupe existe dans la

source d'identité.

e Cliquez sur OK.

5 Sélectionner un rôle du menu déroulant Rôle assigné.

Les rôles qui sont attribués à l'objet apparaissent dans le menu. Les privilèges contenus dans le rôle sont mentionnés dans la section au-dessous de l'intitulé du rôle.

6 (Facultatif) Pour limiter la propagation, décochez la case Propager vers les objets enfants.

Le rôle est appliqué seulement à l'objet sélectionné et ne se propage pas aux objets enfant.

7 Cliquez sur OK pour ajouter l'autorisation.

VMware, Inc. 31

Page 32

Sécurité vSphere

Modiﬁer ou supprimer des autorisations

Après avoir défini un utilisateur ou un groupe et une paire de rôle pour un objet d'inventaire, vous pouvez changer le rôle apparié avec l'utilisateur ou le groupes ou changer le paramètre de la case à cocher Propager. Vous pouvez également supprimer le paramètre d'autorisation.

Procédure

1 Accédez à l'objet dans le navigateur d'objets de vSphere Web Client.

2 Cliquez sur l'onglet Autorisations.

3 Cliquez sur une ligne pour sélectionner une autorisation.

Tâche Étapes

Modifier des autorisations a Cliquez sur l'icône Modifier un rôle dans l'autorisation.

b Sélectionnez un rôle pour l'utilisateur ou le groupe dans le menu déroulant

Rôle assigné.

c Activez/désactivez la case à cocher Propager vers les enfants, si vous

souhaitez apporter des modifications à l'héritage d'autorisations.

d Cliquez sur OK

Supprimer des autorisations Cliquez sur l'icône Supprimer autorisation.

Changer les paramètres de validation d'utilisateur

vCenter Server valide périodiquement ses listes d'utilisateurs et de groupes selon les utilisateurs et les groupes figurant dans l'annuaire d'utilisateurs. Il supprime alors les utilisateurs ou les groupes qui n'existent plus dans le domaine. Vous pouvez désactiver la validation ou modifier l'intervalle entre les validations. Si vos domaines comportent des milliers de groupes ou d'utilisateurs, ou si les recherches prennent trop de temps, envisagez d'ajuster les paramètres de recherche.

Pour les versions de vCenter Server antérieures à vCenter Server 5.0, ces paramètres s'appliquent à un Active Directory associé à vCenter Server. Pour vCenter Server 5.0 et versions ultérieures, ces paramètres s'appliquent aux sources d'identité de vCenter Single Sign-On.

Remarque Cette procédure s'applique uniquement aux listes d'utilisateurs de vCenter Server. Vous ne

pouvez pas faire des recherches dans les listes d'utilisateurs de ESXi de la même façon.

Procédure

1 Accédez au système vCenter Server dans le navigateur d'objets de vSphere Web Client.

2 Sélectionnez Configurer et cliquez sur Paramètres > Général.

3 Cliquez sur Modifier et sélectionnez Répertoire de l'utilisateur.

VMware, Inc. 32

Page 33

Sécurité vSphere

4 Modifier les valeurs si nécessaire, puis cliquez sur OK.

Option Description

Délai d'expiration de l'annuaire d'utilisateurs

Limite de requête Cochez cette case pour définir le nombre maximal d'utilisateurs et de groupes qui

Taille limite de requête Nombre maximal d'utilisateurs et de groupes du domaine sélectionné que

Validation Décochez cette case pour désactiver la validation

Période de validation Spécifie combien de fois vCenter Server valide les autorisations, en minutes.

Délai d'expiration en secondes pour la connexion au serveur Active Directory. Cette valeur spécifie le délai maximal pendant lequel vCenter Server autorise l'exécution de la recherche sur le domaine sélectionné. La recherche dans de grands domaines peut prendre du temps.

s'affichent dans vCenter Server.

vCenter Server affiche dans la boîte de dialogue Choisir les utilisateurs ou les groupes. Si vous entrez 0 (zéro), tous les utilisateurs et groupes apparaissent.

Autorisations globales

Les autorisations globales sont appliquées à un objet racine global qui peut couvrir plusieurs solutions à la fois (vCenter Server et vRealize Orchestrator, par exemple). Utilisez les autorisations globales pour accorder à un utilisateur ou à un groupe des privilèges pour tous les objets dans l'ensemble des hiérarchies d'objets.

Un objet racine se trouve dans la hiérarchie d'objets de chaque solution. L'objet racine global agit comme un objet parent des objets racine pour toutes les solutions. Vous pouvez attribuer des autorisations globales à des utilisateurs ou des groupes et choisir le rôle de chaque utilisateur ou de chaque groupe. Le rôle détermine l'ensemble de privilèges attribués à l'utilisateur ou au groupe pour tous les objets de la hiérarchie. Vous pouvez attribuer un rôle prédéfini ou créer des rôles personnalisés. Reportez-vous à

Utilisation des rôles pour assigner des privilèges. Il est important de faire la distinction entre les

autorisations vCenter Server et les autorisations globales.

Autorisations vCenter Server

Dans la plupart des cas, vous appliquez une autorisation à un vCenter Server objet d'inventaire tel qu'un hôte ESXi ou une machine virtuelle. À ce moment-là, vous spécifiez qu'un utilisateur ou un groupe dispose d'un ensemble de privilèges (appelé « rôle ») sur l'objet.

Autorisations globales Les autorisations globales accordent à un utilisateur ou à un groupe des

privilèges permettant d'afficher ou de gérer tous les objets dans chaque hiérarchie d'inventaire de votre déploiement.

Si vous attribuez une autorisation globale sans sélectionner l'option Propager, les utilisateurs ou les groupes associés à cette autorisation n'ont pas accès aux objets de la hiérarchie. Ils n'ont accès qu'à certaines fonctions globales telles que la création de rôles.

Important Les autorisations globales doivent être utilisées avec précaution. Vérifiez que vous voulez

vraiment attribuer des autorisations à tous les objets dans l'ensemble des hiérarchies d'inventaire.

VMware, Inc. 33

Page 34

Sécurité vSphere

Ajouter une autorisation globale

Vous pouvez utiliser les autorisations globales pour accorder à un utilisateur ou à un groupe des privilèges pour tous les objets dans l'ensemble des hiérarchies d'inventaire de votre déploiement.

Important Les autorisations globales doivent être utilisées avec précaution. Vérifiez que vous voulez

vraiment attribuer des autorisations à tous les objets dans l'ensemble des hiérarchies d'inventaire.

Prérequis

Pour effectuer cette tâche, vous devez disposer des privilèges Autorisations.Modifier autorisation sur l'objet racine de l'ensemble des hiérarchies d'inventaire.

Procédure

1 Cliquez sur Administration et sélectionnez Autorisations globales dans la zone Contrôle d'accès.

2 Cliquez sur Gérer, puis sur l'icône Ajouter autorisation.

3 Sélectionnez l'utilisateur ou le groupe qui disposera des privilèges définis par le rôle sélectionné.

a Dans le menu déroulant Domaine, sélectionnez le domaine où se trouve l'utilisateur ou le

groupe.

b Entrez un nom dans la fenêtre de recherche ou sélectionnez un nom dans la liste.

Le système recherche des noms d'utilisateur, des noms de groupe et des descriptions.

c Sélectionnez l'utilisateur ou le groupe, puis cliquez sur Ajouter.

Le nom est ajouté soit à la liste Utilisateurs soit à la liste groupes.

d (Facultatif) Cliquez sur Vérifier les noms pour vérifier que l'utilisateur ou le groupe existe dans la

source d'identité.

e Cliquez sur OK.

4 Sélectionner un rôle du menu déroulant Rôle assigné.

Les rôles qui sont attribués à l'objet apparaissent dans le menu. Les privilèges contenus dans le rôle sont mentionnés dans la section au-dessous de l'intitulé du rôle.

5 Décidez de cocher ou non la case Propager aux enfants.

6 Cliquez sur OK.

VMware, Inc. 34

Page 35

Sécurité vSphere

Autorisations sur les objets de balise

Dans la hiérarchie d'objets de vCenter Server, les objets de balise ne sont pas des enfants de vCenter Server mais sont créés au niveau racine de vCenter Server. Dans les environnements avec plusieurs instances de vCenter Server, les objets de balise sont partagés entre les instances de vCenter Server. Dans la hiérarchie d'objets de vCenter Server, les autorisations pour les objets de balise fonctionnent différemment des autorisations pour les autres objets.

Seules les autorisations globales ou attribuées à l'objet de balise s'appliquent

Si vous accordez des autorisations à un utilisateur sur un objet d'inventaire de vCenter Server, tel qu'une machine virtuelle, cet utilisateur peut effectuer les tâches associées à l'autorisation. Toutefois, l'utilisateur ne peut pas effectuer d'opérations liées aux balises sur l'objet.

Par exemple, si vous accordez le privilège Attribuer une balise vSphere à l'utilisateur Dana sur le TPA de l'hôte, cette autorisation ne modifie pas le droit accordé ou non à Dana de lui attribuer des balises. Dana doit disposer du privilège Attribuer une balise vSphere au niveau racine - c'est-à-dire une autorisation globale - ou du privilège pour l'objet de balise.

Tableau 2‑1. Conséquences des autorisations globales et des autorisations sur les objets sur ce que peuvent faire les utilisateurs

Autorisation globale

Aucun privilège de balisage n'est accordé.

Dana dispose des privilèges

Attribuer une balise vSphere ou en annuler l'attribution.

Aucun privilège de balisage n'est accordé.

Autorisation au niveau des balises

Dana dispose des privilèges

Attribuer une balise vSphere ou en annuler l'attribution pour la balise.

Aucun privilège n'est attribué pour la balise.

vCenter Server Autorisation au niveau des objets Autorisation valable

Dana dispose des privilèges

Supprimer une balise vSphere sur le TPA de l'hôte

ESXi.

Dana dispose des privilèges

Supprimer une balise vSphere sur le TPA de l'hôte

ESXi.

Dana dispose des privilèges

Attribuer une balise vSphere ou en annuler l'attribution sur le TPA de

l'hôte ESXi.

Dana dispose des privilèges

Attribuer une balise vSphere ou en annuler l'attribution

pour la balise.

Dana dispose des privilèges globaux Attribuer une balise

vSphere ou en annuler l'attribution. Ceci inclut des

privilèges au niveau des balises.

Dana ne dispose des privilèges de balisage sur aucun objet, y compris le TPA de l'hôte.

Les autorisations globales étendent les autorisations sur les objets de balise

Les autorisations globales, c'est-à-dire des autorisations qui sont attribuées sur l'objet racine, complètent les autorisations sur les objets de balise lorsque celles-ci sont trop restrictives. Les autorisations vCenter Server n'affectent pas les objets de balise.

VMware, Inc. 35

Page 36

Sécurité vSphere

Par exemple, supposons que vous attribuez le privilège Supprimer une balise vSphere à l'utilisateur Robin au niveau racine, en utilisant les autorisations globales. Pour la production de balises, vous n'attribuez pas le privilège Supprimer une balise vSphere à Robin. Dans ce cas, Robin dispose du privilège pour la production de balises, car il a l'autorisation globale. Si vous ne modifiez pas l'autorisation globale, vous ne pouvez pas restreindre les privilèges.

Tableau 2‑2. Les autorisations globales complètent les autorisations au niveau des balises

Autorisation au niveau des

Autorisation globale

balises Autorisation valable

Robin dispose des privilèges

Supprimer une balise vSphere

Aucun privilège de balisage accordé Les privilèges Supprimer une

Robin ne dispose pas des privilèges Supprimer une balise

vSphere pour la balise.

balise vSphere ne sont pas

attribués à Robin pour la balise.

Robin dispose des privilèges Supprimer une balise vSphere.

Robin ne dispose pas des privilèges Supprimer une

balise vSphere

Les autorisations au niveau des balises peuvent étendre les autorisations globales

Vous pouvez utiliser des autorisations au niveau des balises pour étendre les autorisations globales. Cela signifie que les utilisateurs peuvent avoir l'autorisation globale et l'autorisation au niveau des balises sur une balise.

Tableau 2‑3. Les autorisations globales étendent les autorisations au niveau des balises

Autorisation au niveau des

Autorisation globale

Lee dispose du privilège Attribuer une balise vSphere ou en annuler l'attribution.

Aucun privilège de balisage n'est accordé.

balises Autorisation valable

Lee dispose du privilège Supprimer une balise vSphere.

Le privilège Supprimer une balise vSphere est attribué à Lee pour la balise.

Lee dispose des privilèges Attribuer une balise vSphere et Supprimer une balise vSphere pour la balise.

Lee dispose du privilège Supprimer une balise vSphere pour la balise.

Utilisation des rôles pour assigner des privilèges

Un rôle est un ensemble prédéfini de privilèges. Les privilèges définissent les droits permettant d'effectuer des actions et de lire des propriétés. Par exemple, le rôle Administrateur de machines virtuelles permet à un utilisateur de lire et de modifier les attributs de machines virtuelles.

Lorsque vous attribuez des autorisations, vous couplez un utilisateur ou un groupe avec un rôle et associez ce couplage à un objet d'inventaire. Un utilisateur ou groupe peut avoir différents rôles pour différents objets de l'inventaire.

Par exemple, supposez que votre inventaire comprend deux pools de ressources, le pool A et le pool B ; vous pouvez attribuer au groupe Ventes le rôle Utilisateur de machine virtuelle sur le pool A et le rôle Lecture seule sur le pool B. Ainsi, les utilisateurs du groupe Ventes peuvent démarrer les machines virtuelles du pool A, mais uniquement afficher les machines virtuelles du pool B.

VMware, Inc. 36

Page 37

Sécurité vSphere

vCenter Server fournit les rôles système et les exemples de rôles par défaut.

Rôles système Les rôles système sont permanents. Vous ne pouvez pas éditer les

privilèges liés à ces rôles.

Exemples de rôles VMware fournit des exemples de rôles pour certaines combinaisons

réalisées fréquemment. Vous pouvez cloner, modifier ou supprimer ces rôles.

Remarque Pour éviter de perdre les paramètres prédéfinis dans un

exemple de rôle, clonez d'abord le rôle, puis modifiez le clone. Vous ne pouvez pas rétablir les paramètres par défaut de l'exemple.

Les utilisateurs ne peuvent planifier des tâches que si leurs rôles leur donnent des privilèges suffisants pour réaliser ces tâches au moment de leur création.

Remarque Les modifications apportées aux rôles et aux privilèges prennent effet immédiatement,

même si les utilisateurs impliqués sont connectés. Les recherches font toutefois exception : pour cellesci, les modifications entrent en vigueur une fois que l'utilisateur s'est déconnecté, puis reconnecté.

Rôles personnalisés dans vCenter Server et ESXi

Vous pouvez créer des rôles personnalisés pour vCenter Server et tous les objets qu'il gère, ou pour des hôtes individuels.

Rôles personnalisés de vCenter Server (recommandé)

Rôles personnalisés d'ESXi

Créez des rôles personnalisés à l'aide des fonctionnalités de modification de rôles de vSphere Web Client afin de créer des ensembles de privilèges répondant spécifiquement à vos besoins.

Vous pouvez créer des rôles personnalisés pour des hôtes individuels en utilisant une interface de ligne de commande ou VMware Host Client. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client. Les rôles d'hôtes personnalisés ne sont pas accessibles à partir de vCenter Server.

Si vous gérez des hôtes ESXi via vCenter Server, ne conservez pas de rôles personnalisés dans l'hôte et dans vCenter Server. Définissez les rôles au niveau de vCenter Server.

VMware, Inc. 37

Page 38

Sécurité vSphere

Lorsque vous gérez un hôte à l'aide de vCenter Server, les autorisations associées à cet hôte sont créées via vCenter Server et stockées dans vCenter Server. Si vous vous connectez directement à un hôte, seuls les rôles créés directement sur l'hôte sont disponibles.

Remarque Lorsque vous ajoutez un rôle personnalisé auquel vous n'attribuez aucun privilège, le rôle

est créé comme un rôle Lecture seule avec trois privilèges définis par le système : Système.Anonyme, Système.Affichage et Système.Lecture.

Création de rôles dans vSphere Web Client (http://link.brightcove.com/services/player/bcpid2296383276001?

bctid=ref:video_creating_role_in_vsphere_webclient)

Créer un rôle personnalisé

Vous pouvez créer des rôles personnalisés vCenter Server correspondant aux besoins de contrôle d'accès de votre environnement. Vous pouvez créer un rôle à partir de zéro ou cloner un rôle existant.

Vous pouvez créer ou modifier un rôle sur un système vCenter Server qui fait partie du même domaine vCenter Single Sign-On que les autres systèmes vCenter Server. VMware Directory Service (vmdir) propage les modifications de rôle que vous apportez à tous les autres systèmes vCenter Server dans le groupe. Cependant, les attributions de rôles à des utilisateurs et objets spécifiques ne sont pas partagées entre les systèmes vCenter Server.

Prérequis

Vérifiez que vous êtes connecté en tant qu'utilisateur avec des privilèges d'administrateur.

Procédure

1 Connectez-vous à vCenter Server.

2 Sélectionnez Accueil et cliquez sur Administration > Rôles.

3 Créez le rôle :

Option Description

Pour créer un rôle à partir de zéro : Cliquez sur le bouton Créer un rôle.

Pour créer un rôle par clonage : Sélectionnez un rôle et cliquez sur le bouton Cloner un rôle.

Consultez Rôles système de vCenter Server pour plus d'informations.

4 Introduisez un nom pour le nouveau rôle.

5 Sélectionnez et désélectionnez les privilèges du rôle.

Consultez Chapitre 13 Privilèges définis pour plus d'informations.

6 Cliquez sur OK.

Vous pouvez créer des autorisations en sélectionnant un objet et en attribuant le rôle à un utilisateur ou à un groupe pour cet objet.

VMware, Inc. 38

Page 39

Sécurité vSphere

Rôles système de vCenter Server

Un rôle est un ensemble prédéfini de privilèges. Lorsque vous ajoutez des autorisations à un objet, vous associez un utilisateur ou un groupe à un rôle. vCenter Server comprend plusieurs rôles système que vous ne pouvez pas modifier.

vCenter Server fournit des rôles par défaut. Vous ne pouvez pas changer les privilèges associés aux rôles par défaut. Les rôles par défaut sont organisés de façon hiérarchique. Chaque rôle hérite des privilèges du rôle précédent. Par exemple, le rôle Administrateur hérite des privilèges du rôle Lecture seule.

La hiérarchie de rôles vCenter Server inclut également plusieurs exemples de rôles. Vous pouvez cloner un exemple de rôle pour créer un rôle similaire.

Si vous créez une règle, elle n'hérite des privilèges d'aucun rôle système.

Rôle d'administrateur Les utilisateurs qui ont le rôle Administrateur pour un objet sont autorisés à

afficher et à exécuter toutes les actions sur cet objet. Ce rôle comprend également tous les privilèges du rôle en lecture seule. Si vous disposez du rôle d'administrateur sur un objet, vous pouvez attribuer des privilèges à des utilisateurs ou des groupes individuels.

Si vous disposez du rôle d'administrateur dans vCenter Server, vous pouvez attribuer des privilèges à des utilisateurs et des groupes dans la source d'identité vCenter Single Sign-On par défaut. Les services d'identité pris en charge incluent Windows Active Directory et OpenLDAP 2.4.

Par défaut, l'utilisateur administrator@vsphere.local a le rôle d'administrateur sur vCenter Single Sign-On et vCenter Server après l'installation. Cet utilisateur peut ensuite associer d'autres utilisateurs disposant du rôle d'administrateur dans vCenter Server.

Rôle Lecture seule Les utilisateurs qui ont le rôle Lecture seule pour un objet sont autorisés à

afficher l'état et les détails de l'objet. Par exemple, les utilisateurs ayant ce rôle peuvent afficher la machine virtuelle, l'hôte et les attributs du pool de ressources, mais ne peuvent pas afficher la console distante d'un hôte. Toutes les actions via les menus et barres d'outils ne sont pas autorisées.

Rôle Aucun accès Les utilisateurs qui ont le rôle Aucun accès pour un objet ne peuvent en

aucun cas afficher ou modifier l'objet. Les nouveaux utilisateurs et groupes sont assignés à ce rôle par défaut. Vous pouvez modifier le rôle par objet.

VMware, Inc. 39

Page 40

Sécurité vSphere

Le rôle Administrateur est attribué par défaut à l'administrateur du domaine vCenter Single Sign-On (par défaut administrator@vsphere.local) ainsi qu'aux utilisateurs racine et vpxuser. Le rôle Aucun accès est attribué par défaut aux autres utilisateurs.

Rôle Aucun administrateur de chiffrement

Les utilisateurs qui ont le rôle Aucun administrateur de chiffrement pour un objet ont les mêmes privilèges que les utilisateurs ayant le rôle Administrateur, à l'exception des privilèges pour les opérations de chiffrement. Ce rôle permet aux administrateurs de désigner d'autres administrateurs qui ne peuvent pas chiffrer ou déchiffrer des machines virtuelles ni accéder aux données chiffrées, mais qui peuvent effectuer les autres tâches d'administration.

La meilleure pratique consiste à créer un utilisateur au niveau racine et à lui attribuer le rôle Administrateur. Après avoir créé un utilisateur nommé ayant les privilèges Administrateur, vous ne pouvez pas supprimer l'utilisateur racine des autorisations ni remplacer son rôle par le rôle Aucun accès.

Meilleures pratiques pour les rôles et les autorisations

Suivez les recommandations relatives aux rôles et aux autorisations pour optimiser la sécurité et la facilité de gestion de votre environnement vCenter Server.

VMware recommande les meilleures pratiques suivantes lorsque vous configurez les rôles et les autorisations dans votre environnement vCenter Server :

Si possible, attribuez un rôle à un groupe plutôt qu'à des utilisateurs individuels.

Accordez des autorisations uniquement sur les objets lorsque cela est nécessaire et attribuez des privilèges uniquement aux utilisateurs ou aux groupes qui doivent en disposer. Utilisez un nombre minimal d'autorisations pour faciliter la compréhension et la gestion de votre structure d'autorisations.

Si vous assignez un rôle restrictif à un groupe, vérifiez que le groupes ne contient pas l'utilisateur d'administrateur ou d'autres utilisateurs avec des privilèges administratifs. Sinon, vous pourriez involontairement limiter les privilèges des administrateurs dans les parties de la hiérarchie d'inventaire où vous avez assigné à ce groupe le rôle restrictif.

Utilisez des dossiers pour grouper des objets. Par exemple, pour accorder une autorisation de modification sur un ensemble d'hôtes et afficher une autorisation sur un autre ensemble d'hôtes, placez chaque ensemble d'hôtes dans un dossier.

Soyez prudent lorsque vous ajoutez une autorisation aux objets vCenter Server racine. Les utilisateurs disposant de privilèges au niveau racine ont accès à des données globales sur vCenter Server, telles que les rôles, les attributs personnalisés et les paramètres vCenter Server.

Pensez à activer la propagation lorsque vous attribuez des autorisations à un objet. La propagation garantit que les nouveaux objets de la hiérarchie d'objets héritent des autorisations. Par exemple, vous pouvez attribuer une autorisation à un dossier de machine virtuelle et activer la propagation pour garantir que l'autorisation s'applique à toutes les machines virtuelles du dossier.

VMware, Inc. 40

Page 41

Sécurité vSphere

Utilisez le rôle Aucun accès pour masquer des zones spécifiques de la hiérarchie. Le rôle Aucun accès restreint l'accès aux utilisateurs ou groupes avec ce rôle.

Les modifications apportées aux licences se propagent comme suit :

Pour tous les systèmes vCenter Server qui sont liés au même Platform Services Controller.

Pour les instances Platform Services Controller dans le même domaine vCenter Single Sign-On.

La propagation de licence s'effectue même si l'utilisateur ne dispose pas de privilèges sur tous les systèmes vCenter Server .

Privilèges requis pour les tâches courantes

De nombreuses tâches requièrent des autorisations sur plusieurs objets d'inventaire. Si l'utilisateur qui tente d'effectuer la tâche dispose de privilèges sur un objet uniquement, il est possible que la tâche ne se termine pas correctement.

Le tableau suivant répertorie les tâches courantes qui exigent plusieurs privilèges. Vous pouvez ajouter des autorisations aux objets d'inventaire en associant un utilisateur à l'un des rôles prédéfinis ou à plusieurs privilèges. Si vous envisagez d'attribuer plusieurs fois un ensemble de privilèges, créez des rôles personnalisés.

Si la tâche que vous souhaitez exécuter ne se trouve pas dans ce tableau, suivez les règles suivantes afin d'attribuer les autorisations requises pour certaines opérations :

Toute opération qui consomme de l'espace de stockage requiert le privilège Banque de données.Allouer de l’espacepour la banque de données cible et le privilège d'exécuter l'opération

proprement dite. Vous devez disposer de ces privilèges, par exemple, lorsque vous créez un disque virtuel ou que vous réalisez un snapshot.

Le déplacement d'un objet dans la hiérarchie d'inventaire exige les privilèges appropriés sur l'objet lui-même, l'objet parent source (tel qu'un dossier ou un cluster) et l'objet parent de destination.

Chaque hôte et chaque cluster ont leur propre pool de ressources implicite qui contient toutes les ressources de cet hôte ou de ce cluster. Le déploiement d'une machine virtuelle directement sur un hôte ou un cluster exige le privilège Ressource.Attribuer une machine virtuelle au pool de ressources.

VMware, Inc. 41

Page 42

Sécurité vSphere

Tableau 2‑4. Privilèges requis pour les tâches courantes

Tâche Privilèges requis Rôle applicable

Créer une machine virtuelle Dans le dossier ou le centre de données de destination :

Machine virtuelle .Inventaire.Créer

Machine virtuelle.Configuration.Ajouter un nouveau disque (en cas de création d'un nouveau disque virtuel)

Machine virtuelle.Configuration.Ajouter un disque existant (en cas d'utilisation d'un disque virtuel existant)

Machine virtuelle.Configuration.Périphérique brut (en cas d'utilisation d'un périphérique de relais RDM ou SCSI)

Sur l'hôte, cluster ou pool de ressources de destination :

Ressource.Attribuer une machine virtuelle au pool de ressources

Sur la banque de données de destination ou le dossier qui contient la banque de données :

Banque de données.Allouer de l'espace

Sur le réseau auquel la machine virtuelle sera assignée :

Réseau.Attribuer un réseau

Mettre sous tension une machine virtuelle

Sur le centre de données dans lequel la machine virtuelle est déployée :

Machine virtuelle .Interaction .Mettre sous tension

Sur la machine virtuelle ou le dossier des machines virtuelles :

Machine virtuelle .Interaction .Mettre sous tension

Administrateur

Administrateur de pool de ressources ou Administrateur

Utilisateur de banque de données ou Administrateur

Utilisateur réseau ou Administrateur

Utilisateur avancé de machines virtuelles ou Administrateur

Déployer une machine virtuelle à partir d'un modèle

Faire un snapshot de machine virtuelle

Déplacer une machine virtuelle dans un pool de ressources

Dans le dossier ou le centre de données de destination :

Machine virtuelle .Inventaire.Créer à partir d'un modèle existant

Machine virtuelle.Configuration.Ajouter un nouveau disque

Sur un modèle ou un dossier des modèles :

Machine virtuelle .Provisionnement.Déployer un modèle

Sur l'hôte, le cluster ou le pool de ressources de destination :

Ressource.Attribuer une machine virtuelle au pool de ressources

Sur la banque de données de destination ou le dossier des banques de données :

Banque de données.Allouer de l'espace

Sur le réseau auquel la machine virtuelle sera assignée :

Réseau.Attribuer un réseau

Sur la machine virtuelle ou un dossier des machines virtuelles :

Machine virtuelle .Gestion des snapshots. Créer un snapshot

Sur la machine virtuelle ou le dossier des machines virtuelles :

Ressource.Attribuer une machine virtuelle au pool de ressources

Machine virtuelle .Inventaire.Déplacer

Administrateur

Utilisateur de banque de données ou Administrateur

Utilisateur réseau ou Administrateur

Utilisateur avancé de machines virtuelles ou Administrateur

Administrateur

VMware, Inc. 42

Page 43

Sécurité vSphere

Tableau 2‑4. Privilèges requis pour les tâches courantes (suite)

Tâche Privilèges requis Rôle applicable

Installer un système d'exploitation invité sur une machine virtuelle

Sur le pool de ressources de destination :

Ressource.Attribuer une machine virtuelle au pool de ressources

Sur la machine virtuelle ou le dossier des machines virtuelles :

Machine virtuelle.Interaction .Répondre à une question

Machine virtuelle .Interaction .Interaction avec une console

Machine virtuelle .Interaction .Connexion à un périphérique

Machine virtuelle .Interaction .Mettre hors tension

Machine virtuelle .Interaction .Mettre sous tension

Machine virtuelle .Interaction .Réinitialiser

Machine virtuelle .Interaction .Configurer un support sur CD (en cas d'installation à partir d'un CD)

Machine virtuelle .Interaction .Configurer un support sur disquette

(en cas d'installation à partir d'une disquette)

Machine virtuelle .Interaction .Installation de VMware Tools

Sur une banque de données qui contient l'image ISO de support d'installation :

Banque de données.Parcourir une banque de données (en cas d'installation à partir d'une image ISO sur une banque de données)

Sur la banque de données sur laquelle vous chargez l'image ISO de support d'installation :

Banque de données.Parcourir une banque de données

Banque de données.Opérations de fichier de niveau inférieur

Administrateur

Utilisateur avancé de machines virtuelles ou Administrateur

Migrer une machine virtuelle avec vMotion

Migrer à froid (relocaliser) une machine virtuelle

Sur la machine virtuelle ou le dossier des machines virtuelles :

Ressource.Migrer une machine virtuelle sous tension

Ressource.Attribuer une machine virtuelle au pool de ressources

(si la destination est un pool de ressources différent de la source)

Sur l'hôte, le cluster ou le pool de ressources de destination (si différent de la source) :

Ressource.Attribuer une machine virtuelle au pool de ressources

Sur la machine virtuelle ou le dossier des machines virtuelles :

Ressource.Migrer une machine virtuelle hors tension

Ressource.Attribuer une machine virtuelle au pool de ressources

(si la destination est un pool de ressources différent de la source)

Sur l'hôte, le cluster ou le pool de ressources de destination (si différent de la source) :

Ressource.Attribuer une machine virtuelle au pool de ressources

Sur la banque de données de destination (si différent de la source) :

Banque de données.Allouer de l'espace

Administrateur de pool de ressources ou Administrateur

Utilisateur de banque de données ou Administrateur

VMware, Inc. 43

Page 44

Sécurité vSphere

Tableau 2‑4. Privilèges requis pour les tâches courantes (suite)

Tâche Privilèges requis Rôle applicable

Migration d'une machine virtuelle avec Storage vMotion

Déplacer un hôte dans un cluster

Chiffrer une machine virtuelle Les tâches de chiffrement sont possibles uniquement dans les

Sur la machine virtuelle ou le dossier des machines virtuelles :

Ressource.Migrer une machine virtuelle sous tension

Sur la banque de données de destination :

Banque de données.Allouer de l'espace

Sur l'hôte :

Hôte.Inventaire.Ajouter un hôte au cluster

Sur le cluster de destination :

Hôte.Inventaire.Ajouter un hôte au cluster

environnements qui incluent vCenter Server. De plus, le mode de chiffrement doit être activé sur l'hôte ESXi pour la plupart des tâches de chiffrement. L'utilisateur qui exécute la tâche doit disposer des privilèges appropriés. Un ensemble de privilèges Opérations de chiffrement permet d'effectuer un contrôle plus précis. Reportez-vous à la section Conditions

préalables et privilèges requis pour les tâches de chiffrement.

Administrateur de pool de ressources ou Administrateur

Utilisateur de banque de données ou Administrateur

Administrateur

VMware, Inc. 44

Page 45

Sécurisation des hôtes ESXi 3

L'architecture de l'hyperviseur ESXi intègre de nombreuses fonctionnalités de sécurité, telles que l'isolation du CPU, l'isolation de la mémoire et l'isolation des périphériques. Vous pouvez configure des fonctionnalités supplémentaires, comme le mode de verrouillage, le remplacement de certificats et l'authentification par carte à puce, pour renforcer la sécurité.

Un hôte ESXi est également protégé par un pare-feu. Vous pouvez ouvrir les ports au trafic entrant et sortant selon vos besoins, mais limitez l'accès aux services et aux ports. L'utilisation du mode verrouillage ESXi et la limitation de l'accès à ESXi Shell peuvent également contribuer à sécuriser davantage l'environnement. À partir de vSphere 6.0, les hôtes ESXi participent à l'infrastructure de certificats. Les hôtes sont provisionnés à l'aide de certificats signés par VMware Certificate Authority (VMCA) par défaut.

Pour plus d'informations sur la sécurité d'ESXi, reportez-vous au livre blanc VMware Sécurité de VMware vSphere Hypervisor.

Ce chapitre aborde les rubriques suivantes :

Recommandations générales de sécurité pour ESXi

Gestion de certificats pour les hôtes ESXi

Personnalisation des hôtes avec le profil de sécurité

Attribution de privilèges pour les hôtes ESXi

Utilisation d'Active Directory pour gérer des utilisateurs ESXi

Utiliser vSphere Authentication Proxy

Configuration de l'authentification par carte à puce pour ESXi

Utilisation du ESXi Shell

Démarrage sécurisé UEFI des hôtes ESXi

Sécurisation des hôtes ESXi avec un module de plate-forme sécurisée

Fichiers journaux ESXi

VMware, Inc.

Page 46

Sécurité vSphere

Recommandations générales de sécurité pour ESXi

Pour protéger un hôte ESXi contre les intrusions et autorisations illégales, VMware impose des contraintes au niveau de plusieurs paramètres et activités. Vous pouvez atténuer les contraintes pour répondre à vos besoins de configuration. Dans ce cas, assurez-vous de travailler dans un environnement de confiance et prenez d'autres mesures de sécurité.

Fonctionnalités de sécurité intégrées

Les risques encourus par les hôtes sont limités par défaut, de la façon suivante :

ESXi Shell et SSH sont désactivés par défaut.

Un nombre limité de ports de pare-feu sont ouverts par défaut. Vous pouvez ouvrir explicitement des ports de pare-feu supplémentaires associés à des services spécifiques.

ESXi exécute uniquement les services essentiels pour gérer ses fonctions. La distribution est limitée aux fonctionnalités requises pour exécuter ESXi.

Par défaut, tous les ports non requis pour l'accès de gestion à l'hôte sont fermés. Ouvrez les ports si vous avez besoin de services supplémentaires.

Par défaut, les chiffrements faibles sont désactivés et les communications provenant des clients sont sécurisées par SSL. Les algorithmes exacts utilisés pour la sécurisation du canal dépendant de l'algorithme de négociation SSL. Les certificats par défaut créés sur ESXi utilisent PKCS#1 SHA-256 avec le chiffrement RSA comme algorithme de signature.

Un service Web Tomcat est utilisé en interne par ESXi pour prendre en charge l'accès par les clients Web. Le service a été modifié pour exécuter uniquement les fonctions dont un client Web a besoin pour l'administration et la surveillance. Par conséquent, ESXi n'est pas vulnérable aux problèmes de sécurité Tomcat signalés lors d'utilisations massives.

VMware assure la surveillance de toutes les alertes de sécurité susceptibles d'affecter la sécurité d'ESXi et envoie un correctif de sécurité en cas de besoin.

Les services non sécurisés (tels que FTP et Telnet) ne sont pas installés, et les ports associés à ces services sont fermés par défaut. Vous trouverez facilement des services plus sécurisés tels que SSH et SFTP. Il est donc conseillé de les privilégier et d'éviter d'utiliser les services non sécurisés. Par exemple, utilisez Telnet avec SSL pour accéder aux ports série virtuels si SSH n'est pas disponible et que vous devez utiliser Telnet.

Si vous devez utiliser des services non sécurisés et que l'hôte bénéficie d'un niveau suffisant de sécurité, vous pouvez ouvrir des ports explicitement pour les prendre en charge.

Envisagez d'utiliser le démarrage sécurisé UEFI pour votre système ESXi. Reportez-vous à

Démarrage sécurisé UEFI des hôtes ESXi.

VMware, Inc. 46

Page 47

Sécurité vSphere

Mesures de sécurité supplémentaires

Tenez compte des recommandations suivantes lorsque vous évaluez la sécurité de l'hôte et l'administration.

Limiter l'accès Si vous activez l'accès à l'interface DCUI (Direct Console User Interface),

ESXi Shell ou SSH impose des stratégies de sécurité d'accès strictes.

L'ESXi Shell possède un accès privilégié à certaines parties de l'hôte. Octroyez un accès de connexion à ESXi Shell uniquement aux utilisateurs approuvés.

Ne pas accéder directement aux hôtes gérés

Utiliser l'interface DCUI pour le dépannage

N'utilisez que des sources VMware pour mettre à niveau les composants ESXi.

Utilisez vSphere Web Client pour administrer les hôtes ESXi qui sont gérés par vCenter Server. N'accédez pas aux hôtes gérés directement avec VMware Host Client et ne modifiez pas les hôtes gérés à partir de l'interface DCUI.

Si vous gérez les hôtes à l'aide d'une interface de script ou d'une API, ne ciblez pas directement l'hôte. Ciblez plutôt le système vCenter Server qui gère l'hôte et spécifiez le nom de l'hôte.

Accédez à l'hôte via l'interface DCUI ou ESXi Shell en tant qu'utilisateur racine uniquement pour le dépannage. Pour administrer vos hôtes ESXi, utilisez un des clients d'interface utilisateur ou une des API ou des interfaces de ligne de commande VMware. Si vous utilisez ESXi Shell ou SSH, limitez les comptes qui disposent d'un accès et définissez des délais d'expiration.

L'hôte exécute plusieurs modules tiers pour prendre en charge les interfaces de gestion ou les tâches que vous devez effectuer. VMware prend en charge uniquement les mises à niveau vers les modules provenant d'une source VMware. Si vous utilisez un téléchargement ou un correctif provenant d'une autre source, cela risque de porter préjudice à la sécurité ou aux fonctions de l'interface de gestion. Consultez les sites Web des fournisseurs tiers et la base de connaissances VMware pour connaître les alertes de sécurité.

Remarque Suivez les instructions de sécurité fournies par VMware, disponible sur le site

http://www.vmware.com/security/.

Conﬁgurer des hôtes ESXi avec des proﬁls d'hôte

Les profils d'hôte vous permettent de définir des configurations standard pour vos hôtes ESXi et d'automatiser la conformité avec ces paramètres de configuration. Les profils d'hôte permettent de contrôler de nombreux aspects de la configuration de l'hôte, notamment la mémoire, le stockage, la mise en réseau, etc.

VMware, Inc. 47

Page 48

Sécurité vSphere

Il est possible de configurer les profils d'hôte d'un hôte de référence à partir de vSphere Web Client et d'appliquer un profil d'hôte à tous les hôtes partageant les caractéristiques de l'hôte de référence. Vous pouvez également utiliser les profils d'hôte pour surveiller les hôtes à la recherche de modifications de la configuration des hôtes. Consultez la documentation de Profils d'hôte vSphere.

Vous pouvez associer le profil d'hôte à un cluster afin de l'appliquer à tous ses hôtes.

Procédure

1 Configurez l'hôte de référence conformément aux spécifications et créez le profil d'hôte.

2 Associez le profil à un hôte ou à un cluster.

3 Appliquez le profil d'hôte de l'hôte de référence à tous les autres hôtes ou clusters.

Utiliser des scripts pour gérer des paramètres de conﬁguration d'hôte

Dans les environnements comportant de nombreux hôtes, la gestion des hôtes avec des scripts est plus rapide et moins susceptible de provoquer des erreurs que la gestion des hôtes depuis vSphere Web Client.

vSphere inclut plusieurs langages de script pour la gestion des hôtes. Reportez-vous à la Documentation sur la ligne de commande de vSphere et à la Documentation sur vSphere API/SDK pour obtenir des informations de référence et des astuces de programmation, et pour accéder à des communautés VMware afin d'obtenir des conseils supplémentaires sur la gestion par scripts. La documentation de l'administrateur de vSphere est principalement axée sur l'utilisation de vSphere Web Client pour la gestion.

vSphere PowerCLI

vSphere CommandLine Interface (vCLI)

VMware vSphere PowerCLI est une interface Windows PowerShell avec vSphere API. Elle inclut des applets de commande PowerShell pour l'administration des composants vSphere.

vSphere PowerCLI inclut plus de 200 applets de commande, un ensemble d'exemples de scripts et une bibliothèque de fonctions pour la gestion et l'automatisation. Reportez-vous à la Documentation de vSphere PowerCLI.

vCLI inclut un ensemble de commandes pour la gestion des hôtes ESXi et des machines virtuelles. Le programme d'installation, qui installe également le vSphere SDK for Perl, s'exécute sur les systèmes Windows ou Linux, et installe des commandes ESXCLI, des commandes vicfg- et un ensemble d'autres commandes vCLI. Reportez-vous à la Documentation de vSphere Command-Line Interface.

À partir de vSphere 6.0, vous pouvez également utiliser l'une des interfaces de script au vCloud Suite SDK, comme vCloud Suite SDK for Python.

VMware, Inc. 48

Page 49

Sécurité vSphere

Procédure

1 Créez un rôle personnalisé ayant des privilèges limités.

Par exemple, considérez la création d'un rôle disposant d'un ensemble de privilèges pour la gestion d'hôtes mais sans privilège pour la gestion de machines virtuelles, du stockage ou de la mise en réseau. Si le script que vous souhaitez utiliser extrait uniquement des informations, vous pouvez créer un rôle disposant de privilèges de lecture seule pour l'hôte.

2 Dans vSphere Web Client, créez un compte de service et attribuez-lui le rôle personnalisé.

Vous pouvez créer plusieurs rôles personnalisés avec différents niveaux d'accès si vous souhaitez que l'accès à certains hôtes soit assez limité.

3 Écrivez des scripts pour effectuer la vérification ou la modification de paramètres, puis exécutez-les.

Par exemple, vous pouvez vérifier ou définir le délai d'expiration interactif du shell d'un hôte de la façon suivante :

Langue Commandes

vCLI (ESXCLI)

esxcli <conn_options> system settings advanced get /UserVars/ESXiShellTimeOut

esxcli --formatter=csv --format-param=fields="Path,Int Value" system settings advanced list | grep /UserVars/ESXiShellTimeOut

PowerCLI

#List UserVars.ESXiShellInteractiveTimeOut for each host Get-VMHost | Select Name, @{N="UserVars.ESXiShellInteractiveTimeOut";E={$_ | Get-AdvancedSetting -Name UserVars.ESXiShellInteractiveTimeOut | Select -ExpandProperty Value}}

# Set UserVars.ESXiShellTimeOut to 900 on all hosts Get-VMHost | Foreach { Get-AdvancedSetting -Entity $_ -Name UserVars.ESXiShellInteractiveTimeOut | Set-AdvancedSetting Value 900 }

4 Dans les environnements de grande envergure, créez des rôles avec des privilèges d'accès différents

et des hôtes du groupe dans des dossiers en fonction des tâches que vous souhaitez effectuer. Vous pouvez ensuite exécuter des scripts sur les différents dossier depuis les différents comptes de service.

5 Vérifiez que les modifications ont été appliquées après l'exécution de la commande.

Verrouillage des mots de passe et des comptes ESXi

Pour les hôtes ESXi, vous devez utiliser un mot de passe avec des exigences prédéfinies. Vous pouvez modifier la longueur requise et l'exigence de classes de caractères ou autoriser les phrases secrètes à l'aide de l'option avancée Security.PasswordQualityControl.

VMware, Inc. 49

Page 50

Sécurité vSphere

ESXi utilise le module Linux PAM pam_passwdqc pour la gestion et le contrôle des mots de passe. Pour plus d'informations, reportez-vous aux pages du manuel concernant pam_passwdqc.

Remarque Les exigences par défaut pour les mots de passe ESXi dépendent de la version. Vous

pouvez vérifier et modifier les restrictions de mot de passe par défaut à l'aide de l'option avancée Security.PasswordQualityControl.

Mots de passe d' ESXi

ESXi exige un mot de passe pour un accès à partir de l'interface DCUI (Direct Console User Interface), d'ESXi Shell, de SSH ou de VMware Host Client.

Lorsque vous créez un mot de passe, vous devez inclure par défaut un mélange de quatre classes de caractères : lettres en minuscule, lettres en majuscule, chiffres et caractères spéciaux comme un trait de soulignement ou un tiret.

Par défaut, la longueur du mot de passe est supérieure à 7 et inférieure à 40.

Les mots de passe ne doivent pas contenir un mot du dictionnaire ou une partie d'un mot du dictionnaire.

Remarque Un caractère en majuscule au début d'un mot de passe ne compte pas dans le nombre de

classes de caractères utilisées. Un chiffre à la fin d'un mot de passe ne compte pas dans le nombre de classes de caractères utilisées.

Exemple de mots de passe d' ESXi

Les candidats de mot de passe suivants illustrent les mots de passe possibles si l'option est définie de la manière suivante.

retry=3 min=disabled,disabled,disabled,7,7

Avec ce paramètre, les mots de passe avec une ou deux classes de caractères et les phrases secrètes ne sont pas autorisés, car les trois premiers éléments sont désactivés. Les mots de passe composés de trois et quatre classes de caractères exigent sept caractères. Pour plus de détails, reportez-vous aux pages du manuel concernant pam_passwdqc.

Avec ces paramètres, les mots de passe suivants sont autorisés.

xQaTEhb!: contient huit caractères provenant de trois classes de caractères.

xQaT3#A : contient sept caractères provenant de quatre classes de caractères.

Les candidats de mot de passe suivants ne répondent pas aux exigences.

Xqat3hi : commence par un caractère majuscule, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.

xQaTEh2 : se termine par un chiffre, réduisant ainsi le nombre effectif de classes de caractères à deux. Trois classes de caractères au minimum sont exigées.

VMware, Inc. 50

Page 51

Sécurité vSphere

Phrase secrète ESXi

Vous pouvez également utiliser une phrase secrète à la place d'un mot de passe. Néanmoins, les phrases secrètes sont désactivées par défaut. Vous pouvez modifier cette valeur par défaut ou d'autres paramètres à l'aide de Security.PasswordQualityControl l'option avancée depuis vSphere Web Client.

Par exemple, vous pouvez remplacer l'option par la suivante.

retry=3 min=disabled,disabled,16,7,7

Cet exemple autorise des phrases secrètes d'au moins 16 caractères et d'au moins 3 mots, séparés par des espaces.

Pour les hôtes hérités, la modification du fichier /etc/pamd/passwd est toujours autorisée, mais vous ne pourrez plus le modifier dans les futures versions. Utilisez plutôt l'option avancée Security.PasswordQualityControl.

Modiﬁcation des restrictions de mot de passe par défaut

Vous pouvez modifier les restrictions par défaut des mots de passe ou des phrases secrètes en utilisant l'option avancée Security.PasswordQualityControl de votre hôte ESXi. Reportez-vous à la documentation Gestion de vCenter Server et des hôtes pour obtenir plus d'informations sur la configuration des options avancées d'ESXi.

Vous pouvez modifier la valeur par défaut, par exemple, pour exiger un minimum de 15 caractères et un nombre minimal de quatre mots, comme suit :

retry=3 min=disabled,disabled,15,7,7 passphrase=4

Pour plus de détails, reportez-vous aux pages du manuel concernant pam_passwdqc.

Remarque Les combinaisons possibles des options de pam_passwdqc n'ont pas toutes été testées.

Effectuez des tests supplémentaires après avoir modifié les paramètres du mot de passe par défaut.

Comportement de verrouillage de compte d' ESXi

À partir de vSphere 6.0, le verrouillage des comptes est pris en charge pour l'accès via SSH et vSphere Web Services SDK. L'interface de console directe (DCUI) et ESXi Shell ne prennent pas en charge le verrouillage de compte. Par défaut, un nombre maximal de dix tentatives de connexion échouées est autorisé avant le verrouillage du compte. Par défaut, le compte est déverrouillé au bout de deux minutes.

VMware, Inc. 51

Page 52

Sécurité vSphere

Conﬁguration du comportement de connexion

Vous pouvez configurer le comportement de connexion de votre hôte ESXi à l'aide des options avancées suivantes :

Security.AccountLockFailures. Nombre maximal de tentatives de connexion échouées autorisées avant le verrouillage du compte de l'utilisateur. La valeur zéro désactive le verrouillage du compte.

Security.AccountUnlockTime. Nombre de secondes pendant lequel le compte d'un utilisateur est verrouillé.

Reportez-vous à la documentation Gestion de vCenter Server et des hôtes pour obtenir plus d'informations sur la configuration des options avancées d'ESXi.

Sécurité SSH

Vous pouvez utiliser SSH pour vous connecter à distance au ESXi Shell et accomplir des tâches de dépannage pour l'hôte.

La configuration SSH d'ESXi est améliorée et offre un haut niveau de sécurité.

Désactivation de la version 1 du protocole SSH

VMware ne prend pas en charge la version 1 du protocole SSH . Il utilise désormais exclusivement la version 2. La version 2 permet d'éliminer certains problèmes de sécurité qui se produisaient dans la version 1 et offre une communication plus sûre grâce à l'interface de gestion.

Chiffrement renforcé Pour les connexions, SSH ne prend en charge que les chiffrements AES

256 bits et 128 bits.

Ces paramètres sont destinés à assurer une protection renforcée des données transmises à l'interface de gestion via SSH. Vous ne pouvez pas modifier ces paramètres.

Clés SSH ESXi

Les clés SSH peuvent restreindre, contrôler et sécuriser l'accès à un hôte ESXi. Une clé SSH peut autoriser un utilisateur approuvé ou un script à se connecter à un hôte sans spécifier un mot de passe.

Vous pouvez copier la clé SSH sur l'hôte en utilisant la commande vifs de l'interface de ligne de commande vSphere. Pour obtenir des informations sur l'installation et l'utilisation de l'ensemble de commandes de l'interface de ligne de commande vSphere, reportez-vous à Démarrage avec les interfaces de ligne de commande vSphere. Il est également possible d'utiliser HTTPS PUT pour copier la clé SSK sur l'hôte.

Au lieu de générer les clés en externe et de les télécharger, vous pouvez les créer sur l'hôte ESXi et les télécharger. Reportez-vous à l'article 1002866 de la base de connaissances VMware.

VMware, Inc. 52

Page 53

Sécurité vSphere

Activer SSH et ajouter des clés SSH à l'hôte présente des risques inhérents. Évaluez le risque potentiel d'exposer un nom d'utilisateur et un mot de passe par rapport au risque d'intrusion par un utilisateur qui dispose d'une clé approuvée.

Remarque Dans ESXi 5.0 et versions ultérieures, un utilisateur disposant d'une clé SSH peut accéder à

l'hôte même lorsque ce dernier est en mode verrouillage. À partir de ESXi 5.1, un utilisateur ayant une clé SSH ne peut plus accéder à un hôte qui est en mode de verrouillage.

Charger une clé SSH à l'aide d'une commande vifs

Si vous décidez d'utiliser des clés autorisées pour vous connecter à un hôte avec SSH, vous pouvez télécharger des clés autorisées avec une commande vifs.

Remarque Du fait que les clés autorisées permettent l'accès SSH sans nécessiter l'authentification de

l'utilisateur, demandez-vous vraiment si vous voulez utiliser des clés SSH dans votre environnement.

Les clés autorisées vous permettent d'authentifier un accès distant à un hôte. Lorsque des utilisateurs ou des scripts essaient d'accéder à un hôte avec SSH, la clé fournit l'authentification sans mot de passe. Les clés autorisées vous permettent d'automatiser l'authentification, ce qui est utile lorsque vous écrivez des scripts pour réaliser des tâches routinières.

Vous pouvez télécharger les types de clés SSH suivants sur un hôte.

Fichiers de clés autorisées pour un utilisateur racine

Clé RSA

Clé RSA publique

À partir de vSphere 6.0 Update 2, les clés DSS/DSA ne sont plus prises en charge.

Important Ne modifiez pas le fichier /etc/ssh/sshd_config. Si vous le faites, vous apportez une

modification dont le démon de l'hôte (hostd) ne sait rien.

Procédure

Sur la ligne de commande ou un serveur d'administration, utilisez la commande vifs pour télécharger la clé SSH dans un emplacement approprié sur l'hôte ESXi.

vifs --server hostname --username username --put filename /host/ssh_host_dsa_key_pub

Type de clés : Emplacement

Fichiers de clés autorisées pour un utilisateur racine

Clés RSA

Clés RSA publiques

/host/ssh_root_authorized keys

Vous devez bénéficier de tous les privilèges Administrateur pour télécharger ce fichier.

/host/ssh_host_rsa_key

/host/ssh_host_rsa_key_pub

VMware, Inc. 53

Page 54

Sécurité vSphere

Charger une clé SSH à l'aide de HTTPS PUT

Vous pouvez utiliser des clés autorisées pour ouvrir une session sur un hôte avec SSH. Vous pouvez charger les clés autorisées à l'aide de HTTPS PUT.

Vous pouvez télécharger les types de clés SSH suivants sur un hôte à l'aide de HTTPS PUT :

Fichier de clés autorisées pour un utilisateur racine

Clé DSA

Clé DSA publique

Clé RSA

Clé RSA publique

Important Ne modifiez pas le fichier /etc/ssh/sshd_config.

Procédure

1 Dans votre application de chargement, ouvrez le fichier de clé.

2 Publiez le fichier aux emplacements suivants.

Type de clés : Emplacement

Fichiers de clés autorisées pour un utilisateur racine

Clés DSA

Clés DSA publiques

Clés RSA

Clés RSA publiques

https://hostname_or_IP_address/host/ssh_root_authorized_keys

Vous devez disposer de tous les privilèges Administrateur sur l'hôte pour télécharger ce fichier.

https://hostname_or_IP_address/host/ssh_host_dsa_key

https://hostname_or_IP_address/host/ssh_host_dsa_key_pub

https://hostname_or_IP_address/host/ssh_host_rsa_key

https://hostname_or_IP_address/host/ssh_host_rsa_key_pub

Périphériques PCI et PCIe et ESXi

L'utilisation de la fonctionnalité de VMware DirectPath I/O pour relayer un périphérique PCI ou PCIe vers une machine virtuelle crée une vulnérabilité de sécurité potentielle. La vulnérabilité peut être déclenchée si un code bogué ou malveillant, tel qu'un pilote de périphérique, s'exécute en mode privilégié dans le système d'exploitation invité. Les standards matériels et micrologiciels n'ont pour le moment pas la prise en charge nécessaire des conteneurs d'erreur pour protéger les hôtes ESXi de la vulnérabilité.

N'utilisez un relais PCI ou PCIe sur une machine virtuelle que si une entité approuvée possède et administre la machine virtuelle. Vous devez vous assurer que cette entité ne tente pas de bloquer ou d'exploiter l'hôte depuis la machine virtuelle.

VMware, Inc. 54

Page 55

Sécurité vSphere

Votre hôte peut être compromis de l'une des manières suivantes.

Le système d'exploitation invité peut générer une erreur PCI ou PCIe irrécupérable. Une telle erreur n'altère pas les données, mais peut bloquer l'hôte ESXi. De telles erreurs peuvent se produire en raison de bogues ou d'incompatibilités dans les périphériques matériels et qui sont ensuite transmises. Des problèmes de pilotes dans le système d'exploitation invité peuvent également être une source possible d'erreurs.

Le système d'exploitation invité peut générer une opération DMA (Direct Memory Access) et provoquer une erreur de page IOMMU sur l'hôte ESXi. Cette opération peut être le résultat d'une opération DMA visant une adresse en dehors de la mémoire de la machine virtuelle. Sur certaines machines, le microprogramme de l'hôte configure les pannes IOMMU pour signaler une erreur fatale via une interruption non masquable (NMI). Cette erreur fatale entraîne le blocage de l'hôte ESXi. Ce problème peut être dû à des dysfonctionnements de pilotes du système d'exploitation invité.

Si le système d'exploitation sur l'hôte ESXi n'utilise pas le remappage d'interruption, le système d'exploitation invité peut injecter une interruption fallacieuse dans l'hôte ESXi sur n'importe quel vecteur. ESXi utilise actuellement le remappage d'interruptions sur les plates-formes Intel offrant cette possibilité. Le remappage d'interruption fait partie de l'ensemble de fonctionnalités Intel VT-d. ESXi n'utilise pas le mappage d'interruptions sur les plates-formes AMD. Une fausse interruption peut entraîner un blocage de l'hôte ESXi. Il existe en théorie d'autres façons d'exploiter ces fausses interruptions.

Désactiver Managed Object Browser

Le navigateur d'objets gérés (Managed Object Browser, MOB) permet d'explorer le modèle d'objet VMkernel. Cependant, les pirates peuvent utiliser cette interface pour effectuer des actions ou des modifications de configuration malveillantes, car il est possible de modifier la configuration de l'hôte à l'aide du MOB. Utilisez le MOB uniquement à des fins de débogage et assurez-vous qu'il est désactivé dans les systèmes de production.

À partir de vSphere 6.0, le MOB est désactivé par défaut. Cependant, pour certaines tâches, par exemple lors de l'extraction de l'ancien certificat d'un système, vous devez utiliser le MOB. Vous pouvez activer ou désactiver le MOB de la manière suivante.

Procédure

1 Sélectionnez l'hôte de vSphere Web Client, puis accédez à l'option Paramètres système avancés.

2 Contrôlez la valeur de Config.HostAgent.plugins.solo.enableMob et modifiez-la, le cas échéant.

N'utilisez pas la commande vim-cmd depuis ESXi Shell.

Recommandations de sécurité pour la mise en réseau d'ESXi

L'isolation du trafic réseau est essentielle pour un environnement ESXi sécurisé. Des réseaux différents requièrent un accès et un niveau d'isolation distincts.

VMware, Inc. 55

Page 56

Sécurité vSphere

Votre hôte ESXi utilise plusieurs réseaux. Utilisez des mesures de sécurité appropriées à chaque réseau et isolez le trafic pour des applications et fonctions spécifiques. Par exemple, assurez-vous que le trafic VMware vSphere vMotion® n'est pas acheminé via des réseaux sur lesquels se trouvent les machines virtuelles. L'isolation empêche l'écoute. Il est également recommandé d'utiliser des réseaux séparés pour des raisons de performance.

Les réseaux de l'infrastructure vSphere sont utilisés pour certaines fonctions comme vSphere vMotion, VMware vSphere Fault Tolerance et le stockage. Isolez ces réseaux pour leurs fonctions spécifiques. Il n'est souvent pas nécessaire de router ces réseaux à l'extérieur d'un rack de serveur physique spécifique.

Un réseau de gestion isole le trafic client, le trafic de l'interface de ligne de commande ou de l'API ou le trafic des logiciels tiers de tout autre trafic. Ce réseau doit être accessible uniquement aux administrateurs système, réseau et sécurité. Utilisez les systèmes JumpBox ou le réseau privé virtuel (VPN) pour sécuriser l'accès au réseau de gestion. Contrôlez strictement l'accès à ce réseau.

Le trafic des machines virtuelles peut traverser un ou plusieurs réseaux. Vous pouvez renforcer l'isolation des machines virtuelles en utilisant des solutions de pare-feu qui définissent des règles de pare-feu au niveau du contrôleur du réseau virtuel. Ces paramètres sont acheminés avec une machine virtuelle dès lors qu'elle migre d'un hôte à un autre dans votre environnement vSphere.

Modiﬁer les paramètres proxy Web ESXi

Lorsque vous modifiez les paramètres proxy Web, vous devez prendre en compte plusieurs recommandations de sécurité utilisateur et de chiffrement.

Remarque Redémarrez le processus hôte après avoir modifié les répertoires hôtes ou les mécanismes

d'authentification.

Ne configurez aucun certificat utilisant un mot de passe ou une phrase secrète. ESXi ne prend pas en charge les proxies Web qui utilisent des mots de passe ou des phrases secrètes (également appelés « clés chiffrées »). Si vous configurez un proxy Web qui nécessite un mot de passe ou une phrase secrète, les processus ESXi ne peuvent pas démarrer correctement.

Pour assurer la prise en charge du chiffrement des noms d'utilisateur, des mots de passe et des paquets, SSL est activé par défaut pour les connexions vSphere Web Services SDK. Si vous souhaitez configurer ces connexions afin qu'elles ne chiffrent pas les transmissions, désactivez SSL pour votre connexion vSphere Web Services SDK en remplaçant le paramètre de connexion HTTPS par HTTP.

Envisagez de mettre hors tension SSL uniquement si vous avez créé un environnement parfaitement fiable pour ces clients, avec des pare-feu et des transmissions depuis/vers l'hôte totalement isolées. La désactivation de SSL peut améliorer les performances car vous évitez le traitement requis pour l'exécution du chiffrement.

VMware, Inc. 56

Page 57

Sécurité vSphere

Pour vous protéger contre les utilisations abusives des services ESXi, la plupart des services ESXi internes sont uniquement accessibles via le port 443, qui est utilisé pour la transmission HTTPS. Le port 443 agit comme proxy inversé pour ESXi. Vous pouvez consulter la liste de services sur ESXi via une page d'accueil HTTP, mais vous ne pouvez pas directement accéder aux services d'Adaptateurs de stockage sans autorisation.

Vous pouvez modifier cette configuration afin que des services individuels soient directement accessibles via des connexions HTTP. N'effectuez pas ce changement à moins d'utiliser ESXi dans un environnement parfaitement fiable.

Lorsque vous mettez votre environnement à niveau, le certificat est conservé.

Considérations relatives à la sécurité dans vSphere Auto Deploy

Lorsque vous utilisez vSphere Auto Deploy, soyez très vigilants à la sécurité du réseau, la sécurité de l'image de démarrage et l'éventuelle exposition des mots de passe dans les profils d'hôtes afin de protéger votre environnement.

Sécurité de la mise en réseau

Sécurisez votre réseau exactement comme si vous sécurisiez le réseau pour n'importe quelle autre méthode déploiement basée sur PXE. vSphere Auto Deploy transfère les données sur SSL pour éviter les interférences et les risques d'écoute. Toutefois, l'authenticité du client ou du serveur Auto Deploy n'est pas vérifiée au cours d'un démarrage PXE.

Vous pouvez considérablement réduire le risque de sécurité d'Auto Deploy en isolant complètement le réseau lorsqu'Auto Deploy est utilisé.

Sécurité concernant l'image de démarrage et le proﬁl d'hôte

L'image de démarrage que le serveur vSphere Auto Deploy télécharge sur une machine peut contenir les composants suivants.

Les modules VIB qui constituent le profil d'image sont toujours inclus dans l'image de démarrage.

Le profil d'hôte et la personnalisation de l'hôte sont inclus dans l'image de démarrage si les règles Auto Deploy sont configurées pour provisionner l'hôte avec un profil d'hôte ou une personnalisation d'hôte.

Le mot de passe administrateur (racine) et les mots de passe utilisateur qui sont inclus dans le profil d'hôte et la personnalisation d'hôte sont cryptés en MD5.

Tous les autres mots de passe associés aux profils sont en clair. Si vous paramétrez Active Directory en utilisant des profils d'hôte, les mots de passe ne sont pas protégés.

Utilisez vSphere Authentication Proxy afin d'éviter d'exposer les mots de passe d'Active Directory. Si vous paramétrez Active Directory en utilisant des profils d'hôte, les mots de passe sont protégés.

La clé SSL publique et privée et le certificat de l'hôte sont inclus dans l'image de démarrage.

VMware, Inc. 57

Page 58

Sécurité vSphere

Contrôler l'accès aux outils de surveillance du matériel basée sur CIM

Le système CIM (Modèle de données unifié, Common Information Model) fournit une interface permettant la gestion au niveau du matériel à partir d'applications distantes utilisant un ensemble d'API standard. Pour garantir que l'interface CIM est sécurisée, ne fournissez que le niveau d'accès minimal nécessaire à ces applications distantes. Si vous provisionnez une application distante avec un compte racine ou d'administrateur, et si l'application est compromise, l'environnement virtuel peut l'être également.

Le modèle CIM est une norme ouverte qui définit une architecture pour la surveillance des ressources matérielles sans agent et basée sur des normes pour les hôtes ESXi. Cette structure se compose d'un gestionnaire d'objet CIM, généralement appelé courtier CIM, et d'un ensemble de fournisseurs CIM.

Les fournisseurs CIM prennent en charge l'accès de gestion aux pilotes des périphériques et au matériel sous-jacent. Les fournisseurs de matériel, y compris les fabricants de serveurs et les fournisseurs de périphériques matériel, peuvent inscrire les fournisseurs qui surveillent et gèrent leurs périphériques. VMware inscrit les fournisseurs qui surveillent le matériel de serveur, l'infrastructure de stockage ESXi et les ressources spécifiques à la virtualisation. Ces fournisseurs sont exécutés au sein de l'hôte ESXi. Ils sont légers et axés sur des tâches de gestion spécifiques. Le courtier CIM recueille les informations de tous les fournisseurs CIM et les présente à l'extérieur à l'aide d'API standard. L'API la plus standard est WS-MAN.

Ne fournissez pas aux applications distantes des informations d'identification racine permettant d'accéder à l'interface CIM. Créez plutôt un compte de service pour ces applications. Accordez un accès en lecture seule aux informations CIM à tous les comptes locaux définis sur le système ESXi, ainsi qu'à tous les rôles définis dans vCenter Server.

Procédure

1 Créez un compte de service pour les applications CIM.

2 Accordez un accès en lecture seule de compte de service aux hôtes ESXi qui collectent les

informations CIM.

3 (Facultatif) Si l'application requiert un accès en écriture, créez un rôle avec deux privilèges

seulement.

Hôte.Config.SystemManagement (Gestion du système)

Hôte.CIM.CIMInteraction (Interaction CIM)

4 Pour chaque hôte ESXi que vous surveillez, créez une autorisation qui couple le rôle personnalisé

avec le compte de service.

Reportez-vous à Utilisation des rôles pour assigner des privilèges.

VMware, Inc. 58

Page 59

Sécurité vSphere

Gestion de certiﬁcats pour les hôtes ESXi

Dans vSphere 6.0 et versions ultérieures, VMware Certificate Authority (VMCA) provisionne chaque nouvel hôte ESXi avec un certificat signé dont VMCA est l'autorité de certification racine par défaut. Le provisionnement s'effectue lorsque l'hôte est explicitement ajouté à vCenter Server ou dans le cadre d'une installation ou d'une mise à niveau vers ESXi 6.0 ou version ultérieure.

Vous pouvez afficher et gérer les certificats ESXi depuis vSphere Web Client et en utilisant l'API vim.CertificateManager dans vSphere Web Services SDK. Vous ne pouvez pas afficher ou gérer des certificats ESXi à l'aide des interfaces de ligne de commande de gestion de certificats disponibles pour la gestion des certificats vCenter Server.

Certiﬁcats dans vSphere 5.5 et dans vSphere 6.x

Lorsqu'ESXi et vCenter Server communiquent, ils utilisent les protocoles TLS/SSL pour presque l'ensemble du trafic de gestion.

Dans vSphere 5.5 et versions antérieures, les points de terminaison TLS/SSL sont sécurisés uniquement par une combinaison de nom d'utilisateur, mot de passe et empreinte. Les utilisateurs peuvent remplacer les certificats autosignés correspondants par leur propres certificats. Reportez-vous au Centre de documentation vSphere 5.5.

Dans vSphere 6.0 et versions ultérieures, vCenter Server prend en charge les modes de certificat suivants pour les hôtes ESXi.

VMware, Inc. 59

Page 60

Sécurité vSphere

Tableau 3‑1. Modes de certiﬁcat des hôtes ESXi

Mode de certificat Description

VMware Certificate Authority (par défaut) Utilisez ce mode si VMCA provisionne tous les hôtes ESXi,

comme autorité de certification de niveau supérieur ou comme autorité de certification intermédiaire.

Par défaut, VMCA provisionne les hôtes ESXi avec des certificats.

Dans ce mode, vous pouvez actualiser et renouveler les certificats dans vSphere Web Client.

Autorité de certification personnalisée Utilisez ce mode si vous souhaitez uniquement utiliser des

certificats personnalisés qui sont signés par une autorité de certification tierce ou de l'entreprise.

Dans ce mode, vous êtes responsable de la gestion des certificats. Vous ne pouvez pas actualiser et renouveler des certificats dans vSphere Web Client.

Remarque Sauf si vous définissez le mode de certificat sur

Autorité de certification personnalisée, VMCA peut remplacer des certificats personnalisés, notamment lorsque vous sélectionnez Renouveler dans vSphere Web Client.

Mode d'empreinte vSphere 5.5 utilisait le mode empreinte numérique. Ce mode

reste disponible en tant qu'option de repli pour vSphere 6.x. Dans ce mode, vCenter Server s'assure que le certificat est formaté correctement, mais ne vérifie pas sa validité. Même les certificats expirés sont acceptés.

N'utilisez ce mode que si vous rencontrez des problèmes que vous ne pouvez pas résoudre avec l'un des deux autres modes. Certains services vCenter 6.x et versions ultérieures ne fonctionnent pas correctement en mode d'empreinte.

Expiration du certiﬁcat

À partir de vSphere 6.0, vous pouvez afficher des informations sur l'expiration des certificats qui sont signés par VMCA ou par une autorité de certification tierce dans vSphere Web Client. Vous pouvez afficher les informations de tous les hôtes qui sont gérés par un système vCenter Server ou les informations d'hôtes individuels. Une alarme jaune se déclenche si le certificat est dans l'état Expiration

prochaine (inférieure à huit mois). Une alarme rouge se déclenche si le certificat est dans l'état Expiration imminente (inférieure à deux mois).

Provisionnement d' ESXi et VMCA

Lorsque vous démarrez un hôte ESXi à partir d'un support d'installation, l'hôte dispose initialement d'un certificat automatiquement généré. Lorsque l'hôte est ajouté au système vCenter Server, il est provisionné avec un certificat signé par VMCA comme autorité de certification racine.

VMware, Inc. 60

Page 61

Sécurité vSphere

Le processus est similaire pour les hôtes qui sont provisionnés avec Auto Deploy. Cependant, comme ces hôtes ne stockent pas d'état, le certificat signé est stocké par le serveur Auto Deploy dans son magasin de certificats local. Le certificat est réutilisé lors des démarrages suivants des hôtes ESXi. Un serveur Auto Deploy fait partie d'un déploiement intégré ou d'un système vCenter Server.

Si VMCA n'est pas disponible lorsqu'un hôte Auto Deploy démarre pour la première fois, l'hôte tente de se connecter en premier lieu. Si cet hôte ne peut pas se connecter, il alterne les arrêts et les redémarrages jusqu'à ce que VMCA devienne disponible et que l'hôte soit provisionné avec un certificat signé.

Privilèges requis pour la gestion des certiﬁcats de ESXi

Pour la gestion des certificats des hôtes ESXi, vous devez disposer du privilègeCertificats.Gérer des certificats. Vous pouvez définir ce privilège à partir de vSphere Web Client.

Modiﬁcations de nom d'hôte et d'adresse IP

Dans vSphere 6.0 et versions ultérieures, une modification de nom d'hôte ou d'adresse IP peut déterminer si vCenter Server considère valide le certificat d'un hôte. Le mode d'ajout de l'hôte à vCenter Server détermine si une intervention manuelle est nécessaire. Lors d'une intervention manuelle, vous reconnectez l'hôte, ou vous le supprimez de vCenter Server et le rajoutez.

Tableau 3‑2. Quand des modiﬁcations de nom d'hôte ou d'adresse IP nécessitent-elles une intervention manuelle ?

Hôte ajouté à vCenter Server à l'aide de... Modifications de nom d'hôte Modifications d'adresse IP

Nom d'hôte Problème de connectivité de

vCenter Server. Intervention manuelle requise.

Adresse IP Aucune intervention requise. Problème de connectivité de

Aucune intervention requise.

vCenter Server. Intervention manuelle requise.

Gestion des certificats ESXi (http://link.brightcove.com/services/player/bcpid2296383276001?

bctid=ref:video_esxi_certs_in_vsphere)

Mises à niveau d'hôtes et certiﬁcats

Si vous mettez à niveau un hôte ESXi vers ESXi 6.0 ou version ultérieure, le processus de mise à niveau remplace les certificats auto-signés (empreinte) par des certificats signés par VMCA. Si l’hôte ESXi utilise des certificats personnalisés, le processus de mise à niveau conserve ces certificats même s’ils sont expirés ou non valides.

Si vous décidez de ne pas mettre à niveau vos hôtes vers ESXi 6.0 ou version ultérieure, les hôtes conservent les certificats que vous utilisez actuellement même si l'hôte est géré par un système vCenter Server qui utilise des certificats VMCA.

VMware, Inc. 61

Page 62

Sécurité vSphere

Le workflow de mise à niveau recommandé dépend des certificats actuels.

Hôte provisionné avec des certificats d'empreinte

Hôte provisionné avec des certificats personnalisés

Si votre hôte utilise actuellement des certificats d'empreinte, des certificats VMCA lui sont automatiquement attribués dans le cadre du processus de mise à niveau.

Remarque Vous ne pouvez pas provisionner des hôtes hérités avec des

certificats VMCA. Vous devrez plus tard mettre à niveau ces hôtes vers ESXi 6.0.

Si votre hôte est provisionné avec des certificats personnalisés, généralement des certificats signés par une autorité de certification tierce, ces certificats restent en place pendant la mise à niveau. Optez pour le mode de certificat Personnalisé pour garantir que les certificats ne sont pas remplacés accidentellement lors d’une actualisation de certificats ultérieure.

Remarque Si votre environnement est en mode VMCA et que vous

actualisez les certificats dans vSphere Web Client, tous les certificats existants sont remplacés par des certificats signés par VMCA.

Par la suite, vCenter Server surveille les certificats et affiche des informations, notamment sur l'expiration des certificats, dans vSphere Web Client.

Hôtes provisionnés avec Auto Deploy

Les hôtes qui sont provisionnés par Auto Deploy obtiennent toujours de nouveaux certificats lors de leur premier démarrage avec le logiciel ESXi 6.0 ou version ultérieure. Lorsque vous mettez à niveau un hôte qui est provisionné par Auto Deploy, le serveur Auto Deploy génère une demande de signature de certificat (CSR) pour l'hôte et la soumet à VMCA. VMCA stocke le certificat signé pour l'hôte. Lorsque le serveur Auto Deploy provisionne l'hôte, il récupère le certificat de VMCA et l'inclut dans le cadre du processus de provisionnement.

Vous pouvez utiliser Auto Deploy avec des certificats personnalisés.

Reportez-vous à Utiliser des certificats personnalisés avec Auto Deploy.

Workﬂows de changement mode de certiﬁcat

À partir de vSphere 6.0, les hôtes ESXi sont provisionnés avec des certificats par VMCA par défaut. Vous devez plutôt utiliser le mode de certification personnalisée ou, à des fins de débogage, le mode d'empreinte hérité. Dans la plupart des cas, les changements de mode sont perturbateurs et ne sont pas nécessaires. Si un changement de mode s'impose, évaluez l'impact potentiel avant de commencer.

Dans vSphere 6.0 et versions ultérieures, vCenter Server prend en charge les modes de certificat suivants pour les hôtes ESXi.

VMware, Inc. 62

Page 63

Sécurité vSphere

Mode de certificat Description

VMware Certificate Authority (par défaut)

Autorité de certification personnalisée

Mode d'empreinte vSphere 5.5 utilisait le mode d'empreinte et ce mode reste disponible en tant qu'option de repli

Par défaut, VMware Certificate Authority est utilisée comme autorité de certification pour les certificats des hôtes ESXi. VMCA est l'autorité de certification racine par défaut, mais elle peut être définie comme autorité de certification intermédiaire vers une autre autorité de certification. Dans ce mode, les utilisateurs peuvent gérer des certificats dans vSphere Web Client. Ce mode est également utilisé si VMCA est un certificat subordonné.

Certains clients préfèrent gérer leur propre autorité de certification externe. Dans ce mode, les clients sont responsables de la gestion des certificats et ne peuvent pas les gérer depuis vSphere Web Client.

pour vSphere 6.0. Toutefois, n'utilisez pas ce mode en cas de problèmes avec l'un ou les deux autres modes que vous ne pouvez pas résoudre. Certains services vCenter 6.0 et versions ultérieures ne fonctionnent pas correctement en mode d'empreinte.

Utilisation de certiﬁcats ESXi personnalisés

Si la stratégie de votre entreprise impose l'utilisation d'une autorité de certification racine autre que VMCA, vous pouvez changer le mode de certification de votre environnement après avoir procédé à une planification rigoureuse. Le workflow recommandé est le suivant.

1 Obtenez les certificats que vous souhaitez utiliser.

2 Placez le ou les hôtes en mode de maintenance et déconnectez-les du système vCenter Server.

3 Ajoutez le certificat racine de l'autorité de certification personnalisée à VECS.

4 Déployez les certificats de l'autorité de certification personnalisée sur chaque hôte et redémarrez les

services sur cet hôte.

5 Passez au mode d'autorité de certification personnalisée. Reportez-vous à la section Changer le

mode de certificat.

6 Connectez le ou les hôtes au système vCenter Server.

Passage du mode d'autorité de certiﬁcation personnalisée au mode VMCA

Si vous utilisez le mode d'autorité de certification personnalisée et en venez à la conclusion que VMCA fonctionne mieux dans votre environnement, vous pouvez procéder au changement de mode après une planification rigoureuse. Le workflow recommandé est le suivant.

1 Retirez tous les hôtes du système vCenter Server.

2 Sur le système vCenter Server, retirez de VECS le certificat racine de l'autorité de certification tierce.

3 Passez au mode VMCA. Reportez-vous à la section Changer le mode de certificat.

4 Ajoutez les hôtes au système vCenter Server.

Remarque Tout autre workflow pour ce mode peut entraîner un comportement imprévisible.

VMware, Inc. 63

Page 64

Sécurité vSphere

Conservation des certiﬁcats du mode d'empreinte pendant la mise à niveau

Le passage du mode VMCA au mode d'empreinte peut être nécessaire si vous rencontrez des problèmes avec les certificats VMCA. En mode d'empreinte, le système vCenter Server vérifie uniquement la présence et le format d'un certificat, mais pas sa validitié. Voir Changer le mode de certificat pour plus d'informations.

Passage du mode d'empreinte au mode VMCA

Si vous utilisez le mode d'empreinte et que vous souhaitez commencer à utiliser des certificats signés par VMCA, le changement nécessite de la planification. Le workflow recommandé est le suivant.

1 Retirez tous les hôtes du système vCenter Server.

2 Passez au mode de certification VMCA. Reportez-vous à la section Changer le mode de certificat.

3 Ajoutez les hôtes au système vCenter Server.

Remarque Tout autre workflow pour ce mode peut entraîner un comportement imprévisible.

Passage du mode d'autorité de certiﬁcation personnalisé au mode d'empreinte

Si vous rencontrez des problèmes avec votre autorité de certification personnalisée, envisagez de passer temporairement au mode d'empreinte. Le changement s'effectue de façon transparente si vous suivez les instructions de la section Changer le mode de certificat. Après le changement de mode, le système vCenter Server vérifie uniquement le format du certificat et ne vérifie plus la validité du certificat proprement dit.

Passage du mode d'empreinte au mode d'autorité de certiﬁcation personnalisée

Si vous définissez votre environnement sur le mode d'empreinte pendant un dépannage et que vous souhaitez commencer à utiliser le mode d'autorité de certification personnalisée, vous devez d'abord générer les certificats requis. Le workflow recommandé est le suivant.

1 Retirez tous les hôtes du système vCenter Server.

2 Ajoutez le certificat racine de l'autorité de certification personnalisée au magasin TRUSTED_ROOTS

dans VECS sur le système vCenter Server. Reportez-vous à la section Mettre à jour le magasin

TRUSTED_ROOTS de vCenter Server (Certificats personnalisés).

3 Pour chaque hôte ESXi :

a Déployez le certificat et la clé de l'autorité de certification personnalisée.

b Redémarrez les services sur l'hôte.

4 Passez au mode personnalisé. Reportez-vous à la section Changer le mode de certificat.

5 Ajoutez les hôtes au système vCenter Server.

VMware, Inc. 64

Page 65

Sécurité vSphere

Paramètres par défaut des certiﬁcats ESXi

Lorsqu'un hôte est ajouté à un système vCenter Server, vCenter Server envoie une demande de signature de certificat (CSR) pour l'hôte à VMCA. La plupart des valeurs par défaut conviennent à de nombreuses situations, mais les informations spécifiques à l'entreprise peuvent être modifiées.

Vous pouvez modifier un grand nombre des paramètres par défaut à l'aide de vSphere Web Client. Envisagez de changer les informations sur l'entreprise et l'emplacement. Reportez-vous à Modifier les

paramètres par défaut de certificat.

Tableau 3‑3. Paramètres CSR ESXi

Paramètre Valeur par défaut Option avancée

Taille de la clé 2048 S.O.

Algorithme de clé RSA S.O.

Algorithme de signature de certificat sha256WithRSAEncryption S.O.

Nom commun Nom de l'hôte si ce dernier a été

ajouté à vCenter Server par nom d'hôte.

Adresse IP de l'hôte si ce dernier a été ajouté à vCenter Server par adresse IP.

Pays États-Unis vpxd.certmgmt.certs.cn.country

Adresse e-mail vmca@vmware.com vpxd.certmgmt.certs.cn.email

Localité (ville) Palo Alto vpxd.certmgmt.certs.cn.localityName

Nom d'unité d'organisation VMware Engineering vpxd.certmgmt.certs.cn.organizationalUnitName

Nom de l'organisation VMware vpxd.certmgmt.certs.cn.organizationName

État ou province Californie vpxd.certmgmt.certs.cn.state

Nombre de jours de validité du certificat.

Seuil fixe d'expiration du certificat. vCenter Server génère une alarme rouge lorsque ce seuil est atteint.

Intervalle d'interrogation des vérifications de la validité des certificats de vCenter Server.

1825 vpxd.certmgmt.certs.cn.daysValid

30 jours vpxd.certmgmt.certs.cn.hardThreshold

5 jours vpxd.certmgmt.certs.cn.pollIntervalDays

S.O.

VMware, Inc. 65

Page 66

Sécurité vSphere

Tableau 3‑3. Paramètres CSR ESXi (suite)

Paramètre Valeur par défaut Option avancée

Seuil dynamique d'expiration du certificat. vCenter Server génère un événement lorsque ce seuil est atteint.

Mode employé par les utilisateurs de vCenter Server pour déterminer si les certificats existants sont remplacés. Modifiez ce mode pour conserver les certificats personnalisés pendant la mise à niveau. Reportez-vous à Mises à

niveau d'hôtes et certificats.

240 jours vpxd.certmgmt.certs.cn.softThreshold

La valeur par défaut est vmca. Vous pouvez également spécifier

Empreinte ou Personnalisé. Reportez-vous à Changer le mode

de certificat.

vpxd.certmgmt.mode

Modiﬁer les paramètres par défaut de certiﬁcat

Lorsqu'un hôte est ajouté à un système vCenter Server, vCenter Server envoie une demande de signature de certificat (CSR) pour l'hôte à VMCA. Vous pouvez modifier certains paramètres par défaut dans la demande CSR en utilisant les paramètres avancés de vCenter Server dans vSphere Web Client.

Pour obtenir la liste des paramètres par défaut, reportez-vous à Paramètres par défaut des certificats

ESXi. Certaines valeurs par défaut ne peuvent pas être modifiées.

Procédure

1 Dans vSphere Web Client, sélectionnez le système vCenter Server qui gère les hôtes.

2 Cliquez sur Configurer, puis sur Paramètres avancés.

3 Dans la zone Filtre, entrez certmgmt pour afficher uniquement les paramètres de gestion des

certificats.

4 Modifiez la valeur des paramètres existants pour appliquer la stratégie de l'entreprise, puis cliquez

sur OK.

Lors du prochain ajout d'un hôte à vCenter Server, les nouveaux paramètres seront utilisés dans la demande CSR que vCenter Server enverra à VMCA et dans le certificate attribué à l'hôte.

Les modifications apportées aux métadonnées des certificats affectent uniquement les nouveaux certificats. Si vous souhaitez modifier les certificats d'hôtes déjà gérés par le système vCenter Server, vous pouvez déconnecter et reconnecter les hôtes, ou renouveler les certificats.

Acher les informations d'expiration de certiﬁcat pour plusieurs hôtes ESXi

Si vous utilisez ESXi 6.0 ou version ultérieure, vous pouvez afficher l'état du certificat de tous les hôtes gérés par votre système vCenter Server. Cet affichage vous permet de déterminer si l'un des certificats est sur le point d'expirer.

VMware, Inc. 66

Page 67

Sécurité vSphere

Vous pouvez afficher des informations sur l'état d'un certificat pour les hôtes qui utilisent le mode VMCA, ainsi que pour ceux qui utilisent le mode personnalisé dans vSphere Web Client. Il n'est pas possible d'afficher des informations sur l'état du certificat pour les hôtes en mode Empreinte.

Procédure

1 Accédez à l'hôte dans la hiérarchie de l'inventaire de vSphere Web Client.

Par défaut, l'affichage des hôtes n'inclut pas l'état du certificat.

2 Cliquez avec le bouton droit sur le champ Nom et sélectionnez l'option Afficher/masquer les

colonnes.

3 Sélectionnez Certificat valide pour, cliquez sur OK et faites défiler vers la droite, si nécessaire.

Les informations relatives au certificat s'affichent lorsque le certificat expire.

Si un hôte est ajouté à vCenter Server ou reconnecté après une déconnexion, vCenter Server renouvelle le certificat si son état est Expiré, Expiration, Expiration prochaine ou Expiration imminente. L'état est Expiration si la validité du certificat est inférieure à huit mois, Expiration prochaine si la validité est inférieure à deux mois et Expiration imminente si elle est inférieure à un mois.

4 (Facultatif) Désélectionnez les autres colonnes pour faciliter l'observation de ce qui vous intéresse.

Renouvelez les certificats qui sont sur le point d'expirer. Reportez-vous à Renouveler ou actualiser des

certificats ESXi.

Acher les détails de certiﬁcat pour un hôte ESXi spéciﬁque

Pour les hôtes ESXi 6.0 et versions ultérieures qui sont en mode VMCA ou en mode personnalisé, vous pouvez afficher les détails du certificat dans vSphere Web Client. Les informations sur le certificat peuvent être utiles lors d'un débogage.

Procédure

1 Accédez à l'hôte dans l'inventaire de vSphere Web Client.

2 Sélectionnez Configurer.

3 Sous Système, cliquez sur Certificat.

Vous pouvez afficher les informations suivantes. Ces informations sont disponibles uniquement dans la vue d'hôte unique.

Champ Description

Objet Objet utilisé lors de la génération du certificat.

Émetteur Émetteur du certificat.

Date de début de validité Date à laquelle le certificat a été généré.

VMware, Inc. 67

Page 68

Sécurité vSphere

Champ Description

Date de fin de validité Date à laquelle le certificat expire.

État État du certificat, à savoir l'un des états suivants.

Bon Fonctionnement normal.

Expiration Le certificat va bientôt expirer.

Expiration imminente

Expiré Le certificat n'est pas valide, car il a expiré.

La date d'expiration du certificat se situe dans huit mois ou moins (par défaut).

Le certificat se situe à 2 mois ou moins de sa date d'expiration (par défaut).

Renouveler ou actualiser des certiﬁcats ESXi

Si l'autorité de certification VMware (VMCA) attribue des certificats à vos hôtes ESXi (6.0 et version ultérieure), vous pouvez renouveler ces certificats à partir de vSphere Web Client. Vous pouvez également actualiser tous les certificats du magasin TRUSTED_ROOTS associés à vCenter Server.

Vous pouvez renouveler vos certificats lorsqu'ils sont sur le point d'expirer ou si vous souhaitez provisionner l'hôte avec un nouveau certificat pour d'autres raisons. Si le certificat a déjà expiré, vous devez déconnecter puis reconnecter l'hôte.

Par défaut, vCenter Server renouvelle les certificats des hôtes dont l'état est Expiré, Expire immédiatement ou Expiration chaque fois que l'hôte est ajouté à l'inventaire ou qu'il est reconnecté.

Procédure

1 Accédez à l'hôte dans l'inventaire de vSphere Web Client.

2 Sélectionnez Configurer.

3 Sous Système, cliquez sur Certificat.

Il est possible d'afficher des informations détaillées sur le certificat de l'hôte sélectionné.

4 Cliquez sur Renouveler ou sur Actualiser les certificats d'autorité de certification.

Option Description

Renouveler Récupère, auprès de l'autorité de certification VMware (VMCA), un certificat

venant d'être signé pour l'hôte.

Actualiser les certificats d'autorité de certification

Pousse tous les certificats du magasin TRUSTED_ROOTS dans le magasin VECS de vCenter Server vers l'hôte.

5 Cliquez sur Oui pour confirmer.

VMware, Inc. 68

Page 69

Sécurité vSphere

Changer le mode de certiﬁcat

Utilisez VMCA pour provisionner les hôtes ESXi dans votre environnement, sauf si la stratégie d'entreprise exige que vous utilisiez des certificats personnalisés. Pour utiliser des certificats personnalisés avec une autorité de certification racine différente, vous pouvez modifier l'option avancée vCenter Server vpxd.certmgmt.mode. Après la modification, les hôtes ne sont plus provisionnés automatiquement avec des certificats VMCA lorsque vous actualisez les certificats. Vous êtes responsable de la gestion des certificats dans votre environnement.

Vous pouvez utiliser les paramètres avancés de vCenter Server pour passer au mode d'empreinte ou d'autorité de certification personnalisée. N'utilisez le mode d'empreinte que comme option de secours.

Procédure

1 Sélectionnez le système vCenter Server qui gère les hôtes et cliquez sur Configurer.

2 Cliquez sur Paramètres avancés, puis sur Modifier.

3 Dans le champ Filtre, entrez certmgmt pour afficher uniquement les clés de gestion des certificats.

4 Définissez la valeur de vpxd.certmgmt.mode sur Personnalisé si vous souhaitez gérer vos propres

certificats ou sur empreinte si vous préférez utiliser temporairement le mode d'empreinte, puis cliquez sur OK.

5 Redémarrez le service vCenter Server.

Remplacement de certiﬁcats et de clés SSL pour ESXi

Selon la stratégie de sécurité de votre entreprise, vous devrez peut-être remplacer le certificat SSL défini par défaut pour ESXi par un certificat signé par une autorité de certification tierce sur chaque hôte.

Par défaut, les composants vSphere utilisent le certificat signé par VMCA et la clé créés lors de l'installation. Si vous supprimez accidentellement le certificat signé par VMCA, supprimez l'hôte de son système vCenter Server, puis ajoutez-le de nouveau. Lorsque vous ajoutez l'hôte, vCenter Server demande un nouveau certificat à VMCA et provisionne l'hôte à l'aide de celui-ci.

Si la stratégie de votre entreprise l'impose, remplacez les certificats signés par VMCA par des certificats provenant d'une autorité de certification approuvée (une autorité de certification commerciale ou l'autorité de certification d'une organisation).

Les certificats par défaut se trouvent au même emplacement que les certificats vSphere 5.5. Vous pouvez remplacer les certificats par défaut par des certificats approuvés de plusieurs manières.

Remarque Vous pouvez également utiliser les objets gérés vim.CertificateManager et

vim.host.CertificateManager dans vSphere Web Services SDK. Reportez-vous à la documentation

vSphere Web Services SDK.

Après avoir remplacé le certificat, vous devez mettre à jour le magasin TRUSTED_ROOTS dans VECS sur le système vCenter Server qui gère l'hôte, afin de garantir une relation de confiance entre vCenter Server et l'hôte ESXi.

VMware, Inc. 69

Page 70

Sécurité vSphere

Pour obtenir des instructions détaillées sur l'utilisation des certificats signés par une autorité de certification pour les hôtes ESXi, consultez l'article de la base de connaissance VMware https://kb.vmware.com/s/article/2113926.

Configuration requise pour les demandes de signature de certificat ESXi

Si vous souhaitez utiliser un certificat d'entreprise ou signé par une autorité de certification tierce, vous devez envoyer une demande de signature de certificat (CRS) à l'autorité de certification.

Remplacer le certificat et la clé par défaut dans ESXi Shell

Vous pouvez remplacer les certificats ESXi signés par VMCA par défaut dans ESXi Shell.

Remplacer un certificat et une clé par défaut à l'aide de la commande vifs

Vous pouvez remplacer les certificats ESXi par défaut signés par VMware Certificate Authority (VMCA) à l'aide de la commande vifs.

Remplacer un certificat par défaut à l'aide de HTTPS PUT

Vous pouvez utiliser des applications tierces pour télécharger des certificats et une clé. Les applications prenant en charge les opérations HTTPS PUT utilisent l'interface HTTPS incluse avec ESXi.

Mettre à jour le magasin TRUSTED_ROOTS de vCenter Server (Certificats personnalisés)

Si vous configurez vos hôtes ESXi pour qu'ils utilisent des certificats personnalisés, vous devez mettre à niveau le magasin TRUSTED_ROOTS du système vCenter Server qui gère les hôtes.

Conﬁguration requise pour les demandes de signature de certiﬁcat ESXi

Utilisez une demande de signature de certificat présentant les caractéristiques suivantes :

Taille de clé : 2 048 bits ou plus (codée au format PEM)

Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8

x509 version 3

Pour les certificats racines, l'extension d'autorité de certification doit être définie sur vrai et la signature de certification doit figurer dans la liste de conditions requises.

SubjectAltName doit contenir DNS Name=<machine_FQDN>

Format CRT

Contient les utilisations de clé suivantes : signature numérique, non-répudiation, chiffrement de la clé

Heure de début antérieure d'un jour à l'heure actuelle

CN (et SubjectAltName) défini sur le nom de l'hôte (ou l'adresse IP) de l'hôte ESXi dans l'inventaire vCenter Server.

VMware, Inc. 70

Page 71

Sécurité vSphere

Remplacer le certiﬁcat et la clé par défaut dans ESXi Shell

Vous pouvez remplacer les certificats ESXi signés par VMCA par défaut dans ESXi Shell.

Prérequis

Si vous souhaitez utiliser des certificats signés par une autorité de certification tierce, générez la demande de certificat, envoyez-la à l'autorité de certification et stockez les certificats sur chaque hôte ESXi.

Si nécessaire, activez ESXi Shell ou activez le trafic SSH dans vSphere Web Client.

Tous les transferts de fichiers et autres communications se produisent lors d'une session HTTPS sécurisée. L'utilisateur servant à authentifier la session doit disposer du privilège Hôte.Config.AdvancedConfig sur l'hôte.

Procédure

1 Connectez-vous à ESXi Shell, directement à partir de l'interface utilisateur de la console directe

(DCUI) ou à partir d'un client SSH, en tant qu'utilisateur disposant de privilèges d'administrateur.

2 Dans l'inventaire /etc/vmware/ssl, renommer les certificats existants à l'aide des commandes

suivantes :

mv rui.crt orig.rui.crt

mv rui.key orig.rui.key

3 Copiez les certificats à utiliser dans /etc/vmware/ssl.

4 Renommer le nouveau certificat et la clé dans rui.crt et rui.key.

5 Redémarrez l'hôte après avoir installé le nouveau certificat.

Vous pouvez également mettre l'hôte en mode de maintenance, installer le nouveau certificat, utiliser l'interface utilisateur de console directe (DCUI) pour redémarrer les agents de gestion, puis configurer l'hôte pour quitter le mode de maintenance.

Mettez à jour le magasin vCenter Server TRUSTED_ROOTS.

Remplacer un certiﬁcat et une clé par défaut à l'aide de la commande vifs

Vous pouvez remplacer les certificats ESXi par défaut signés par VMware Certificate Authority (VMCA) à l'aide de la commande vifs.

Vous exécutez vifs comme commande vCLI. Reportez-vous à Démarrage avec vSphere Command-Line Interfaces.

VMware, Inc. 71

Page 72

Sécurité vSphere

Prérequis

Si nécessaire, activez ESXi Shell ou activez le trafic SSH dans vSphere Web Client.

Procédure

1 Sauvegardez les certificats existants.

2 Générez une demande de certificat en suivant les instructions de l'autorité de certification.

Reportez-vous à Configuration requise pour les demandes de signature de certificat ESXi.

3 Lorsque vous avez le certificat, utilisez la commande vifs pour télécharger le certificat à

l'emplacement approprié sur l'hôte à partir d'une connexion SSH vers l'hôte.

vifs --server nom_hôte --username nom_utilisateur --put rui.crt /host/ssl_cert

vifs --server nom_hôte --username nom_utilisateur --put rui.key /host/ssl_key

4 Redémarrez l'hôte.

Mettez à jour le magasin vCenter Server TRUSTED_ROOTS. Reportez-vous à Mettre à jour le magasin

TRUSTED_ROOTS de vCenter Server (Certificats personnalisés).

Remplacer un certiﬁcat par défaut à l'aide de HTTPS PUT

Prérequis

Si nécessaire, activez ESXi Shell ou activez le trafic SSH dans vSphere Web Client.

Procédure

1 Sauvegardez les certificats existants.

VMware, Inc. 72

Page 73

Sécurité vSphere

2 Dans votre application de téléchargement, traitez chaque fichier de la manière suivante :

a Ouvrez le fichier.

b Publiez le fichier à l'un de ces emplacements.

Option Description

Certificats

Clés

https://hostname/host/ssl_cert

https://hostname/host/ssl_key

Les emplacements /host/ssl_cert et host/ssl_key sont reliés aux fichiers de certificats dans /etc/vmware/ssl.

3 Redémarrez l'hôte.

Mettez à jour le magasin TRUSTED_ROOTS de vCenter Server. Reportez-vous à Mettre à jour le

magasin TRUSTED_ROOTS de vCenter Server (Certificats personnalisés).

Mettre à jour le magasin TRUSTED_ROOTS de vCenter Server (Certiﬁcats personnalisés)

Si vous configurez vos hôtes ESXi pour qu'ils utilisent des certificats personnalisés, vous devez mettre à niveau le magasin TRUSTED_ROOTS du système vCenter Server qui gère les hôtes.

Prérequis

Remplacez les certificats de chacun des hôtes par des certificats personnalisés.

Procédure

1 Connectez-vous au système vCenter Server qui gère les hôtes ESXi.

Connectez-vous au système Windows sur lequel vous avez installé le logiciel ou au shell vCenter Server Appliance.

2 Exécutez vecs-cli pour ajouter les nouveaux certificats au magasin TRUSTED_ROOTS, par exemple :

/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store TRUSTED_ROOTS --alias custom1.crt --

cert /etc/vmware/ssl/custom1.crt

Option Description

Linux

/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store TRUSTED_ROOTS --alias custom1.crt -cert /etc/vmware/ssl/custom1.crt

Windows

C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli entry create --store TRUSTED_ROOTS --alias custom1.crt --cert c:\ssl\custom1.crt

VMware, Inc. 73

Page 74

Sécurité vSphere

Définissez le mode de certificat sur Personnalisé. Si le mode de certificat est VMCA (c'est-à-dire la valeur par défaut) et que vous effectuez une actualisation des certificats, vos certificats personnalisés sont remplacés par des certificats signés par l'autorité de certification VMware (VMCA). Reportez-vous à

Changer le mode de certificat.

Utiliser des certiﬁcats personnalisés avec Auto Deploy

Par défaut, le serveur Auto Deploy provisionne chaque hôte avec des certificats signés par VMCA. Vous pouvez configurer le serveur Auto Deploy de manière à provisionner tous les hôtes à l'aide de certificats personnalisés non signés par VMCA. Dans ce scénario, le serveur Auto Deploy devient une autorité de certification subordonnée de l'autorité de certification tierce.

Prérequis

Demandez un certificat à votre autorité de certification. Le certificat doit répondre aux conditions suivantes.

Taille de clé : 2 048 bits ou plus (codée au format PEM)

Format PEM. VMware prend en charge PKCS8 et PKCS1 (clés RSA). Lorsque des clés sont ajoutées à VECS, elles sont converties en PKCS8

x509 version 3

Pour les certificats racines, l'extension d'autorité de certification doit être définie sur vrai et la signature de certification doit figurer dans la liste de conditions requises.

SubjectAltName doit contenir DNS Name=<machine_FQDN>

Format CRT

Contient les utilisations de clé suivantes : signature numérique, non-répudiation, chiffrement de la clé

Heure de début antérieure d'un jour à l'heure actuelle

CN (et SubjectAltName) défini sur le nom de l'hôte (ou l'adresse IP) de l'hôte ESXi dans l'inventaire vCenter Server.

Nom du certificat et fichiers de clés rbd-ca.crt et rbd-ca.key.

Procédure

1 Sauvegardez les certificats ESXi par défaut.

Les certificats se situent à l'emplacement /etc/vmware-rbd/ssl/.

2 Dans vSphere Web Client, arrêtez le service Auto Deploy.

a Sélectionnez Administration, puis cliquez sur Configuration système sous Déploiement.

b Cliquez sur Services.

c Cliquez avec le bouton droit sur le service que vous souhaitez arrêter et sélectionnez Arrêter.

VMware, Inc. 74

Page 75

Sécurité vSphere

3 Sur le système qui exécute le service Auto Deploy, dans /etc/vmware-rbd/ssl/, remplacez rbd-

ca.crt et rbd-ca.key par votre certificat personnalisé et vos fichiers de clés.

4 Sur le système qui exécute le service Auto Deploy, mettez à jour le magasin TRUSTED_ROOTS

dans VECS pour utiliser vos nouveaux certificats.

Option Description

Windows

cd C:\Program Files\VMware\vCenter Server\vmafdd\vecs-cli.exe vecs-cli entry delete --store TRUSTED_ROOTS --alias rbd_cert vecs-cli entry create --store TRUSTED_ROOTS --alias rbd_cert

--cert /etc/vmware-rbd/ssl/rbd-ca.crt

Linux

cd /usr/lib/vmware-vmafd/bin/vecs-cli vecs-cli entry delete --store TRUSTED_ROOTS --alias rbd_cert vecs-cli entry create --store TRUSTED_ROOTS --alias rbd_cert

--cert /etc/vmware-rbd/ssl/rbd-ca.crt

5 Créez un fichier castore.pem contenant tout ce qui se trouve dans TRUSTED_ROOTS et placez-le

dans le répertoire /etc/vmware-rbd/ssl/.

En mode personnalisé, vous êtes responsable de la gestion de ce fichier.

6 Définissez le mode de certificat ESXi du système vCenter Server sur Personnalisé.

Reportez-vous à Changer le mode de certificat.

7 Redémarrez le service vCenter Server et démarrez le service Auto Deploy.

La prochaine fois que vous provisionnez un hôte configuré pour utiliser Auto Deploy, le serveur Auto Deploy génère un certificat. Le serveur Auto Deploy utilise le certificat racine que vous venez d'ajouter au magasin TRUSTED_ROOTS.

Remarque Si vous rencontrez des problèmes avec Auto Deploy après le remplacement des certificats,

reportez-vous à l'article 2000988 de la base de connaissances VMware.

Restaurer les ﬁchiers de certiﬁcat et de clé ESXi

Lorsque vous remplacez un certificat sur un hôte ESXi à l'aide de vSphere Web Services SDK, le certificat et la clé antérieurs sont ajoutés à un fichier .bak. Vous pouvez restaurer les certificats précédents en déplaçant les informations du fichier .bak vers les fichiers de certificat et de clé actuels.

Le certificat et la clé de l'hôte résident dans /etc/vmware/ssl/rui.crt et /etc/vmware/ssl/rui.key. Lorsque vous remplacez le certificat et la clé d'un hôte à l'aide de l'objet géré vim.CertificateManager de vSphere Web Services SDK, le certificat et la clé antérieurs sont ajoutés au fichier /etc/vmware/ssl/rui.bak.

Remarque Si vous remplacez le certificat à l'aide de HTTP PUT, vifs ou à partir d'ESXi Shell, les

certificats existants ne sont pas ajoutés au fichier .bak.

VMware, Inc. 75

Page 76

Sécurité vSphere

Procédure

1 Sur l'hôte ESXi, accédez au fichier /etc/vmware/ssl/rui.bak.

Le format du fichier est le suivant :

# Host private key and certificate backup from 2014-06-20 08:02:49.961

-----BEGIN PRIVATE KEY-----

previous key

-----END PRIVATE KEY-----

-----BEGIN CERTIFICATE-----

previous cert

-----END CERTIFICATE-----

2 Copiez le texte qui commence par -----BEGIN PRIVATE KEY----- et termine par -----END

PRIVATE KEY----- dans le fichier /etc/vmware/ssl/rui.clé.

Incluez -----BEGIN PRIVATE KEY----- et -----END PRIVATE KEY-----.

3 Copiez le texte entre -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- dans le

fichier /etc/vmware/ssl/rui.crt.

Incluez -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----.

4 Redémarrez l'hôte ou envoyez des événements ssl_reset à tous les services qui utilisent les clés.

for s in /etc/init.d/*; do $s | grep ssl_reset > /dev/null; if [ $? == 0 ]; then

$s ssl_reset; fi; done

Personnalisation des hôtes avec le proﬁl de sécurité

Vous pouvez personnaliser la plupart des paramètres de sécurité essentiels de votre hôte via le panneau Profil de sécurité disponible dans vSphere Web Client. Le profil de sécurité est particulièrement utile pour la gestion d'hôte unique. Si vous gérez plusieurs hôtes, pensez à utiliser l'une des lignes de commande (CLI) ou l'un des kits de développement logiciel (SDK) et à automatiser la personnalisation.

ESXi

ESXi contient un pare-feu activé par défaut.

Lors de l'installation, le pare-feu d'ESXi est configuré pour bloquer le trafic entrant et sortant, sauf le trafic des services activés dans le profil de sécurité de l'hôte.

VMware, Inc. 76

Page 77

Sécurité vSphere

Réfléchissez bien avant d'ouvrir des ports sur le pare-feu, car l'accès illimité aux services qui s'exécutent sur un hôte ESXi peut exposer ce dernier aux attaques extérieures et aux accès non autorisés. Pour minimiser les risques, configurez le pare-feu ESXi de manière à autoriser l'accès uniquement depuis les réseaux autorisés.

Remarque Le pare-feu permet également d'utiliser les commandes ping ICMP (Internet Control

Message Protocol) et autorise les communications avec les clients DHCP et DNS (UDP uniquement).

Vous pouvez gérer les ports du pare-feu d'ESXi de la manière suivante :

Utilisez le profil de sécurité de chacun des hôtes dans vSphere Web Client. Reportez-vous à Gérer

les paramètres du pare-feu ESXi

Utilisez les commandes ESXCLI dans la ligne de commande ou dans les scripts. Reportez-vous à

Commandes de pare-feu ESXCLI d'ESXi.

Utilisez un VIB personnalisé si le port que vous cherchez à ouvrir n'est pas inclus dans le profil de sécurité.

Vous créez des VIB personnalisés avec l'outil vibauthor disponible dans VMware Labs. Pour installer le VIB personnalisé, vous devez modifier le niveau d'acceptation de l'hôte ESXi sur CommunitySupported. Voir l'article 2007381 de la base de connaissances VMware.

Remarque Si vous contactez le support technique VMware pour examiner un problème relatif à un

hôte ESXi avec un VIB CommunitySupported installé, il se peut que le support VMware demande de désinstaller le VIB CommunitySupported dans le cadre de la résolution du problème afin de déterminer si ce VIB est associé au problème étudié.

Concepts du pare-feu d'ESXi (http://link.brightcove.com/services/player/bcpid2296383276001?

bctid=ref:video_esxi_firewall_concepts)

Le comportement de l'ensemble de règles du client NFS (nfsClient) diffère de celui des autres ensembles de règles. Lorsque l'ensemble de règles du client NFS est activé, tous les ports TCP sortants sont ouverts aux hôtes de destination figurant dans la liste des adresses IP autorisées. Consultez

Comportement du pare-feu client NFS pour plus d'informations.

Gérer les paramètres du pare-feu ESXi

Vous pouvez configurer les connexions de pare-feu entrantes et sortantes pour un agent de service ou de gestion dans vSphere Web Client ou sur la ligne de commande.

Remarque Si différents services ont des règles de port qui se chevauchent, l'activation d'un service peut

implicitement activer d'autres services. Vous pouvez spécifier les adresses IP qui sont autorisées à accéder à chacun des services sur l'hôte afin d'éviter ce problème.

Procédure

1 Accédez à l'hôte dans l'inventaire de vSphere Web Client.

2 Cliquez sur Configurer.

VMware, Inc. 77

Page 78

Sécurité vSphere

3 Dans Système, cliquez sur Profil de sécurité.

vSphere Web Client affiche la liste des connexions entrantes et sortantes actives avec les ports de pare-feu correspondants.

4 Dans la section Pare-feu, cliquez sur Modifier.

L'écran affiche des ensembles de règles de pare-feu avec le nom de la règle et les informations associées.

5 Sélectionnez les ensembles de règles à activer, ou désélectionnez ceux à désactiver.

Colonne Description

Ports entrants et port sortants Les ports que vSphere Web Client ouvre pour le service

Protocole Protocole utilisé par un service.

Processus Statut des démons associés au service

6 Pour certains services, vous pouvez gérer les détails du service.

Utilisez les boutons Démarrer, Arrêter ou Redémarrer pour modifier temporairement l'état d'un service.

Modifier la stratégie de démarrage pour que le service démarre avec l'hôte ou avec l'utilisation du port.

7 Pour certains services, vous pouvez spécifier explicitement les adresses IP à partir desquelles les

connexions sont autorisées.

Reportez-vous à Ajouter des adresses IP autorisées pour un hôte ESXi.

8 Cliquez sur OK.

Ajouter des adresses IP autorisées pour un hôte ESXi

Par défaut, le pare-feu de chaque service autorise l'accès à toutes les adresses IP. Pour restreindre le trafic, modifiez chaque service pour autoriser uniquement le trafic provenant de votre sous-réseau de gestion. Vous pouvez également annuler la sélection de certains services si votre environnement ne les utilise pas.

Vous pouvez utiliser vSphere Web Client, vCLI ou PowerCLI pour mettre à jour la liste des adresses IP autorisées d'un service. Par défaut, toutes les adresses IP sont autorisées pour un service.

Ajout d'adresses IP autorisées au pare-feu ESXi (http://link.brightcove.com/services/player/bcpid2296383276001?

bctid=ref:video_adding_allowed_IP_to_esxi_firewall)

Procédure

1 Accédez à l'hôte dans l'inventaire de vSphere Web Client.

2 Cliquez sur Configurer.

3 Dans Système, cliquez sur Profil de sécurité.

VMware, Inc. 78

Page 79

Sécurité vSphere

4 Dans la section Pare-feu, cliquez sur Modifier, puis sélectionnez un service dans la liste.

5 Dans la section Adresses IP autorisées, désélectionnez Autoriser les connexions de toutes les

adresses IP, puis saisissez les adresses IP des réseaux autorisés à se connecter à l'hôte.

Séparez les adresses IP avec des virgules. Vous pouvez utiliser les formats d'adresse suivants :

192.168.0.0/24

192.168.1.2, 2001::1/64

fd3e:29a6:0a81:e478::/64

6 Cliquez sur OK.

Ports de pare-feu entrants et sortants pour les hôtes ESXi

vSphere Web Client et VMware Host Client vous permettent d'ouvrir et de fermer les ports de pare-feu pour chaque service ou encore d'autoriser le trafic provenant d'adresses IP sélectionnées.

Le tableau ci-dessous répertorie les pare-feu pour les services installés par défaut. Il est possible de disposer de services et de ports de pare-feu supplémentaires en installant d'autres VIB sur l'hôte. Ces informations s'adressent principalement aux services visibles dans vSphere Web Client mais le tableau inclut aussi d'autres ports.

Tableau 3‑4. Connexions de pare-feu entrantes

Protoc

Port

5988 TCP Serveur CIM Serveur pour CIM (Common Information Model).

5989 TCP Serveur sécurisé

427 TCP,

546 DHCPv6 Client DHCP pour IPv6.

8301, 8302 UDP DVSSync Les ports DVSSync permettent de synchroniser les états des ports virtuels

902 TCP NFC La NFC (Network File Copy, copie de fichiers réseau) fournit un service FTP

12345, 23451 UDP Service de clustering

ole Service Description

Serveur sécurisé pour CIM.

CIM

SLP CIM Le client CIM utilise le Service Location Protocol, version 2 (SLPv2) pour

UDP

vSAN

rechercher des serveurs CIM.

distribués entre les hôtes pour lesquels l'enregistrement et la lecture VMware FT sont activés. Seuls les ports des hôtes qui exécutent des machines virtuelles principales ou de sauvegarde doivent être ouverts. Sur les ports qui n'utilisent pas VMware FT, ces ports n'ont pas besoin d'être ouverts.

capable de reconnaître les types de fichiers pour les composants vSphere. ESXi utilise par défaut la technologie NFC pour des opérations comme la copie ou le transfert de données entre banques de données.

Surveillance d'un cluster VMware vSAN et appartenance à Directory Service. Utilise la multidiffusion IP basée sur UDP pour établir les membres du cluster et distribuer les métadonnées vSAN à tous les membres du cluster. Si le service est désactivé, vSAN ne fonctionne pas.

68 UDP Client DHCP Client DHCP pour IPv4.

53 UDP Client DNS Client DNS.

VMware, Inc. 79

Page 80

Sécurité vSphere

Tableau 3‑4. Connexions de pare-feu entrantes (suite)

Protoc

Port

ole Service Description

8200, 8100, 8300

6999 UDP Service de routeur

2233 TCP Transport vSAN Transport de datagramme fiable vSAN. Exploite TCP et est employé pour les

161 UDP Serveur SNMP Permet à l'hôte de se connecter à un serveur SNMP.

22 TCP Serveur SSH Requis pour l'accès SSH.

8000 TCP vMotion Requis pour la migration de machines virtuelles avec vMotion. Les hôtes ESXi

902, 443 TCP vSphere Web Client Connexions client

8080 TCP vsanvp Fournisseur de distributeur VASA vSAN. Utilisé pour le service de gestion du

TCP,

UDP

Fault Tolerance Trafic entre les hôtes pour vSphere Fault Tolerance (FT).

Service de routeur distribué virtuel NSX. Le port de pare-feu associé à ce logique distribué NSX

service est ouvert lorsque les VIB NSX sont installés et que le module VDR

(Virtual Distributed Router) est créé. Si aucune instance de VDR n'est

associée à l'hôte, le port n'a pas besoin d'être ouvert.

Ce service s'appelait « Service de routeur logique distribué NSX » dans les

versions précédentes du produit.

E/S de stockage vSAN. Si le service est désactivé, vSAN ne fonctionne pas.

écoutent sur le port 8000 pour les connexions TCP à partir des hôtes ESXi

distants pour le trafic vMotion.

stockage (SMS) inclus dans vCenter pour accéder aux informations relatives

à la conformité, aux capacités et aux profils de stockage vSAN. Si le service

est désactivé, vSAN Storage Profile Based Management (SPBM) ne

fonctionne pas.

80 TCP vSphere Web Access Page de bienvenue, avec liens de téléchargement pour différentes interfaces.

5900-5964 TCP Protocole RFB

80, 9000 TCP vSphere Update

Manager

Tableau 3‑5. Connexions de pare-feu sortantes

Port Protocole Service Description

427 TCP, UDP SLP CIM Le client CIM utilise le Service Location Protocol, version 2

(SLPv2) pour rechercher des serveurs CIM.

547 TCP, UDP DHCPv6 Client DHCP pour IPv6.

8301, 8302 UDP DVSSync Les ports DVSSync permettent de synchroniser les états des

ports virtuels distribués entre les hôtes pour lesquels l'enregistrement et la lecture VMware FT sont activés. Seuls les ports des hôtes qui exécutent des machines virtuelles principales ou de sauvegarde doivent être ouverts. Sur les ports qui n'utilisent pas VMware FT, ces ports n'ont pas besoin d'être ouverts.

44046, 31031 TCP HBR Utilisé par vSphere Replication et VMware Site Recovery

Manager pour le trafic de réplication en cours.

VMware, Inc. 80

Page 81

Sécurité vSphere

Tableau 3‑5. Connexions de pare-feu sortantes (suite)

Port Protocole Service Description

902 TCP NFC La NFC (Network File Copy, copie de fichiers réseau) fournit un

service FTP capable de reconnaître les types de fichiers pour les composants vSphere. ESXi utilise par défaut la technologie NFC pour des opérations comme la copie ou le transfert de données entre banques de données.

9 UDP WOL Utilisé par Réveil sur réseau local LAN.

12345 23451 UDP Service de clustering

vSAN

68 UDP Client DHCP Client DHCP.

53 TCP, UDP Client DNS Client DNS.

80, 8200, 8100, 8300 TCP, UDP Fault Tolerance Prend en charge VMware Fault Tolerance.

3260 TCP Client de logiciel

iSCSI

6999 UDP Service de routeur

logique distribué NSX

5671 TCP rabbitmqproxy Proxy s'exécutant sur l'hôte ESXi. Ce proxy permet aux

2233 TCP Transport vSAN Utilisé pour le trafic RDT (communication monodiffusion de poste

Surveillance du cluster, appartenance et service d'annuaire utilisé par vSAN.

Prend en charge l'iSCSI logiciel.

Le port de pare-feu associé à ce service est ouvert lorsque les VIB NSX sont installés et que le module VDR (Virtual Distributed Router) est créé. Si aucune instance de VDR n'est associée à l'hôte, le port n'a pas besoin d'être ouvert.

applications qui s'exécutent à l'intérieur des machines virtuelles de communiquer avec les brokers AMQP qui s'exécutent dans le domaine de réseau vCenter.

Il n'est pas nécessaire que la machine virtuelle se trouve sur le réseau. En d'autres termes, aucune carte réseau n'est requise. Assurez-vous que les adresses IP des connexions sortantes incluent au moins les brokers utilisés ou futurs. Vous pouvez ajouter des brokers ultérieurement pour monter en puissance.

à poste) entre nœuds vSAN.

8000 TCP vMotion Requis pour la migration de machines virtuelles avec vMotion.

902 UDP Agent VMware

vCenter

8080 TCP vsanvp Utilisé pour le trafic du fournisseur de distributeur vSAN.

9080 TCP Service de filtre d'E/S Utilisé par la fonctionnalité de stockage de filtres d'E/S

VMware, Inc. 81

Agent vCenter Server.

Page 82

Sécurité vSphere

Tableau 3‑6. Ports de pare-feu pour les services non visibles dans l'interface utilisateur par défaut

Proto

Port

5900-5964 TCP Protocole RFB Le protocole RFB est un protocole simple pour l'accès à distance aux

cole Service Commentaire

interfaces utilisateur graphiques.

8889 TCP Démon

OpenWSMAN

Web Services Management (WS-Management est un standard ouvert DMTF pour la gestion des serveurs, des dispositifs, des applications et des services Web).

Comportement du pare-feu client NFS

L'ensemble de règles de pare-feu du client NFS ne se comporte pas comme les ensembles de règles de pare-feu ESXi. ESXi configure les paramètres du client NFS lorsque vous montez ou démontez une banque de données NFS. Le comportement dépend de la version de NFS.

Lorsque vous ajoutez, montez ou démontez une banque de données NFS, le comportement obtenu dépend de la version de NFS.

Comportement du pare-feu NFS v3

Lorsque vous ajoutez ou montez une banque de données NFS v3, ESXi vérifie l'état de l'ensemble de règles de pare-feu du client NFS (nfsClient).

Si l'ensemble de règles nfsClient est désactivé, ESXi active l'ensemble de règles et désactive la stratégie « Autoriser toutes les adresses IP » en définissant l'indicateur allowedAll sur FALSE. L'adresse IP du serveur NFS est ajoutée à la liste des adresses IP sortantes autorisées.

Si l'ensemble de règles nfsClient est activé, l'état de l'ensemble de règles et la stratégie d'adresse IP autorisée ne sont pas modifiés. L'adresse IP du serveur NFS est ajoutée à la liste des adresses IP sortantes autorisées.

Remarque Si vous activez manuellement l'ensemble de règles nfsClient ou configurez manuellement

la stratégie Autoriser toutes les adresses IP, avant ou après avoir ajouté une banque de données NFS v3 dans le système, vos paramètres sont remplacés lorsque la dernière banque de données NFS v3 est démontée. L'ensemble de règles nfsClient est désactivé lorsque toutes les banques de données NFS v3 sont démontées.

Lorsque vous supprimez ou démontez une banque de données NFS v3, ESXi réalise l'une des actions suivantes.

Si aucune des banques de données NFS v3 restantes n'est montée à partir du serveur de la banque de données que vous être en train de démonter, ESXi supprime l'adresse IP du serveur dans la liste des adresses IP sortantes.

S'il ne reste aucune banque de données NFS v3 montée une fois l'opération de démontage terminée, ESXi désactive l'ensemble de règles de pare-feu nfsClient.

VMware, Inc. 82

Page 83

Sécurité vSphere

Comportement du pare-feu NFS v4.1

Lorsque vous montez la première banque de données NFS v4.1, ESXi active l'ensemble de règles nfs41client et définit son indicateur allowedAll sur TRUE. Cette action provoque l'ouverture du port 2049 pour toutes les adresses IP. Le démontage d'une banque de données NFS v4.1 n'a pas d'impact sur l'état du pare-feu. En d'autres termes, le port 2049 s'ouvre la première fois que vous montez une banque de données NFS v4.1 et reste ouvert jusqu'à ce que vous le fermiez explicitement.

Commandes de pare-feu ESXCLI d' ESXi

Si votre environnement inclut plusieurs hôtes ESXi, l'automatisation de la configuration de pare-feu à l'aide de commandes ESXCLI ou de vSphere Web Services SDK est recommandée.

Référence des commandes de pare-feu

Vous pouvez utiliser les commandes d'ESXi Shell ou de vSphere CLI pour configurer ESXi sur la ligne de commande afin d'automatiser la configuration du pare-feu. Reportez-vous à Démarrage avec vSphere

Command-Line Interfaces pour une introduction et à Concepts et exemples d'interfaces de ligne de commande vSphere pour des exemples d'utilisation d'ESXCLI pour manipuler des pare-feu et des règles

de pare-feu.

Tableau 3‑7. Commandes du pare-feu

Commande Description

esxcli network firewall get

esxcli network firewall set --default-action

esxcli network firewall set --enabled

esxcli network firewall load

esxcli network firewall refresh

esxcli network firewall unload

esxcli network firewall ruleset list

esxcli network firewall ruleset set --allowed-all

esxcli network firewall ruleset set --enabled --

ruleset-id=<string>

Renvoie l'état activé ou désactivé du pare-feu et répertorie les actions par défaut.

Définir sur True pour définir Passer comme action par défaut. Définir sur False pour définir Abandonner comme action par défaut.

Activer ou désactiver le pare-feu d'ESXi.

Charger le module du pare-feu et les fichiers de configuration d'ensemble de règles.

Actualiser la configuration du pare-feu en lisant les fichiers d'ensemble de règles si le module du pare-feu est chargé.

Détruire les filtres et décharger le module du pare-feu.

Répertorier les informations des ensembles de règles.

Définir sur True pour permettre l'accès à toutes les adresses IP. Définir sur False pour utiliser une liste d'adresses IP autorisées.

Définir la propriété sur True pour activer l'ensemble de règles spécifié. Définir la propriété sur False pour désactiver l'ensemble de règles spécifié.

esxcli network firewall ruleset allowedip list

esxcli network firewall ruleset allowedip add

VMware, Inc. 83

Répertorier les adresses IP autorisées de l'ensemble de règles spécifié.

Autoriser l'accès à l'ensemble de règles à partir de l'adresse IP ou de la plage d'adresses IP spécifiée.

Page 84

Sécurité vSphere

Tableau 3‑7. Commandes du pare-feu (suite)

Commande Description

esxcli network firewall ruleset allowedip remove

esxcli network firewall ruleset rule list

Supprimer l'accès à l'ensemble de règles à partir de l'adresse IP ou de la plage d'adresses IP spécifiée.

Lister les règles de chaque ensemble de règles du pare-feu.

Exemples de commandes de pare-feu

Les exemples suivants proviennent d'une publication de virtuallyGhetto.

1 Vérifiez un nouvel ensemble de règles appelé virtuallyGhetto.

esxcli network firewall ruleset rule list | grep virtuallyGhetto

2 Spécifiez une adresse IP ou des plages d'adresses IP spécifiques pour accéder à un service en

particulier. L'exemple suivant désactive l'option allow all et spécifie une plage particulière pour le service virtuallyGhetto.

esxcli network firewall ruleset set --allowed-all false --ruleset-id=virtuallyGhetto

esxcli network firewall ruleset allowedip add --ip-address=172.30.0.0/24 --ruleset-

id=virtuallyGhetto

Personnalisation des services ESXi à partir du proﬁl de sécurité

Un hôte ESXi inclut plusieurs services s'exécutant par défaut. Vous pouvez désactiver les services depuis le profil de sécurité ou les activer si la stratégie de l'entreprise le nécessite.

Utiliser vSphere Web Client pour activer l'accès à ESXi Shell est un exemple de procédure d'activation

d'un service.

Remarque L'activation de services affecte la sécurité de votre hôte. N'activez un service que si cela est

strictement nécessaire.

Les services disponibles varient en fonction des VIB installés sur l'hôte ESXi. Vous ne pouvez pas ajouter de services sans installer un VIB. Certains produits VMware (par exemple, vSphere HA) installent des VIB sur des hôtes et rendent disponibles des services et les ports de pare-feu correspondants.

Dans une installation par défaut, vous pouvez modifier l'état des services suivants dans vSphere Web Client.

VMware, Inc. 84

Page 85

Sécurité vSphere

Tableau 3‑8. Services ESXi du proﬁl de sécurité

Service Par défaut Description

Interface utilisateur de la console directe

ESXi Shell Arrêté ESXi Shell est disponible dans l'interface DCUI et inclut un

SSH Arrêté Service client SSH de l'hôte qui permet les connexions à

Démon d'association basé sur la charge

Service Active Directory Arrêté Lorsque vous configurez ESXi pour Active Directory, ce

Processus NTP Arrêté Démon NTP (Network Time Protocol).

Démon de carte à puce PC/SC Arrêté Lorsque vous activez l'hôte pour l'authentification par carte

Serveur CIM En cours d'exécution Service pouvant être utilisé par les applications CIM

En cours d'exécution Le service DCUI (Direct Console User Interface) vous

permet d'interagir avec un hôte ESXi à partir de l'hôte de la console locale à l'aide de menus textuels.

ensemble de commandes intégralement prises en charge et un ensemble de commandes assurant le dépannage et la correction. Vous devez activer l'accès à ESXi Shell dans la console directe de chaque système. Vous pouvez activer l'accès à ESXi Shell ou accéder à ESXi Shell avec SSH.

distance via SSH (Secure Shell).

En cours d'exécution Association basée sur la charge.

service démarre.

à puce, ce service démarre. Reportez-vous à Configuration

de l'authentification par carte à puce pour ESXi.

(Common Information Model).

Serveur SNMP Arrêté Démon SNMP. Reportez-vous à Surveillance et

performances de vSphere pour obtenir des informations sur la configuration de SNMP v1, v2 et v3.

Serveur Syslog Arrêté Démon Syslog. Vous pouvez activer syslog à partir des

Paramètres système avancés de vSphere Web Client. Voir Installation et configuration de vCenter Server.

Agent VMware vCenter En cours d'exécution Agent vCenter Server. Autorise un système vCenter Server

à se connecter à un hôte ESXi. Spécifiquement, vpxa est le conduit de communication au démon de l'hôte qui communique avec le noyau ESXi.

X.Org Server Arrêté X.Org Server. Cette fonctionnalité facultative est utilisée en

interne pour les graphiques 3D des machines virtuelles.

Activer ou désactiver un service dans le proﬁl de sécurité

Vous pouvez activer ou désactiver l'un des services répertoriés dans le profil de sécurité depuis vSphere Web Client.

Après l'installation, certains services s'exécutent par défaut, tandis que d'autres sont arrêtés. Dans certains cas, une configuration supplémentaire est nécessaire avant qu'un service devienne disponible dans l'interface utilisateur de vSphere Web Client. Par exemple, le service NTP permet d'obtenir des informations horaires précises, mais ce service fonctionne uniquement lorsque les ports requis sont ouverts dans le pare-feu.

VMware, Inc. 85

Page 86

Sécurité vSphere

Prérequis

Connectez-vous à vCenter Server avec vSphere Web Client.

Procédure

1 Accédez à un hôte dans l'inventaire vSphere Web Client, puis sélectionnez-le.

2 Cliquez sur Configurer.

3 Sous Système, sélectionnez Profil de sécurité et cliquez sur Modifier.

4 Accédez au service que vous souhaitez modifier.

5 Dans le volet Détails du service, sélectionnez Démarrer, Arrêter ou Redémarrer pour une

modification ponctuelle de l'état de l'hôte ou faites votre choix dans le menu Règle démarrage pour modifier l'état de l'hôte lors des redémarrages.

Démarrer automatiquement si ports ouverts, et arrêter quand tous ports fermés : paramètre par défaut pour ces services. Si un port est ouvert, le client tente de contacter les ressources réseau du service. Si certains ports sont ouverts, mais que le port d'un service particulier est fermé, la tentative échoue. Lorsque le port sortant applicable est ouvert, le service termine son démarrage.

Démarrer et arrêter avec hôte : le service démarre peu après le démarrage de l'hôte, et s'arrête peu après l'arrêt de l'hôte. Plutôt semblable à l'option Démarrer automatiquement si ports ouverts, et arrêter quand tous ports fermés, cette option signifie que le service tente régulièrement d'effectuer sa tâche, telle que contacter le serveur NTP spécifié. Si le port a été fermé, mais est rouvert par la suite, le client commence à effectuer sa tâche peu après.

Démarrer et arrêter manuellement : l'hôte conserve les paramètres de service déterminés par l'utilisateur, que les ports soient ouverts ou non. Lorsqu'un utilisateur démarre le service NTP, ce service reste en exécution tant que l'hôte est alimenté. Si le service est démarré et que l'hôte est mis hors tension, le service est arrêté dans le cadre du processus d'arrêt, mais dès que l'hôte est mis sous tension, le service redémarre et conserve l'état déterminé par l'utilisateur.

Remarque Ces paramètres s'appliquent uniquement aux paramètres de service qui sont configurés

par le biais de vSphere Web Client ou aux applications créées avec vSphere Web Services SDK. Les configurations effectuées par d'autres moyens (par exemple, dans ESXi Shell ou avec les fichiers de configuration, ne sont pas modifiées par ces paramètres).

Mode verrouillage

Pour augmenter le niveau de sécurité des hôtes ESXi, vous pouvez les placer en mode de verrouillage. En mode de verrouillage, les opérations doivent être exécutées via vCenter Server par défaut.

VMware, Inc. 86

Page 87

Sécurité vSphere

vSphere 6.0 propose différents degrés de verrouillage par le biais de deux modes de verrouillage : normal et strict. La liste d'utilisateurs exceptionnels est une autre nouveauté de vSphere 6.0. Les utilisateurs exceptionnels ne perdent pas leurs privilèges lorsque l'hôte entre en mode de verrouillage. Utilisez la liste d'utilisateurs exceptionnels pour ajouter les comptes de solutions tierces et d'applications externes qui doivent accéder directement à l'hôte lorsque celui-ci est en mode de verrouillage. Reportez-vous à

Spécifier les utilisateurs exceptionnels du mode de verrouillage.

Mode verrouillage dans vSphere 6 (http://link.brightcove.com/services/player/bcpid2296383276001?

bctid=ref:video_lockdown_mode_vsphere)

Comportement du mode de verrouillage

En mode de verrouillage, certains services sont désactivés et d'autres ne sont accessibles qu'à certains utilisateurs.

Services du mode de verrouillage pour diérents utilisateurs

Lorsque l'hôte est en cours d'exécution, les services disponibles varient selon que le mode de verrouillage est activé et en fonction du type de mode de verrouillage.

En mode de verrouillage strict et normal, les utilisateurs disposant de privilèges peuvent accéder à l'hôte via vCenter Server à l'aide de vSphere Web Client ou de vSphere Web Services SDK.

Le comportement de l'interface de console directe du mode de verrouillage strict et différent de celui du mode de verrouillage normal.

En mode de verrouillage strict, le service d'interface utilisateur de la console directe est désactivé.

En mode de verrouillage normal, les comptes présents dans la liste des utilisateurs exceptionnels peuvent accéder à l'interface DCUI s'ils disposent des privilèges d'administrateur. En outre, tous les utilisateurs qui sont spécifiés dans le paramètre système avancé DCUI.Access peuvent accéder à l'interface DCUI.

Si ESXi Shell ou SSH est activé et que l'hôte est placé en mode de verrouillage, les comptes de la liste des utilisateurs exceptionnels qui disposent des privilèges d'administrateur peuvent utiliser ces services. ESXi Shell ou SSH est désactivé pour tous les autres utilisateurs. À partir de vSphere 6.0, les sessions ESXi ou SSH des utilisateurs qui ne disposent pas de privilèges d'administrateur sont terminées.

Tout accès est connecté à la fois pour le mode de verrouillage strict et normal.

VMware, Inc. 87

Page 88

Sécurité vSphere

Tableau 3‑9. Comportement du mode de verrouillage

Mode de verrouillage

Service Mode normal

normal Mode de verrouillage strict

API vSphere Web Services Tous les utilisateurs, en

fonction des autorisations

Fournisseurs CIM Utilisateurs disposant des

privilèges d'administrateur sur l'hôte

Interface utilisateur de la console directe (DCUI)

ESXi Shell (s'il est activé)

Utilisateurs disposant des privilèges d'administrateur sur l'hôte et utilisateurs de l'option avancée DCUI.Access

Utilisateurs disposant des privilèges d'administrateur sur l'hôte

vCenter (vpxuser) Utilisateurs exceptionnels,

en fonction des autorisations

vCloud Director (vslauser, s'il est disponible)

vCenter (vpxuser) Utilisateurs exceptionnels,

en fonction des autorisations

vCloud Director (vslauser, s'il est disponible)

Utilisateurs définis dans l'option avancée DCUI.Access

Utilisateurs exceptionnels disposant des privilèges d'administrateur sur l'hôte

Utilisateurs définis dans l'option avancée DCUI.Access

Utilisateurs exceptionnels disposant des privilèges d'administrateur sur l'hôte

vCenter (vpxuser) Utilisateurs exceptionnels, en fonction

des autorisations vCloud Director (vslauser, s'il est

disponible)

vCenter (vpxuser) Utilisateurs exceptionnels, en fonction

des autorisations vCloud Director (vslauser, s'il est

disponible)

Le service de l'interface DCUI est arrêté

Utilisateurs définis dans l'option avancée DCUI.Access

Utilisateurs exceptionnels disposant des privilèges d'administrateur sur l'hôte

SSH (s'il est activé)

Utilisateurs disposant des privilèges d'administrateur sur l'hôte

Utilisateurs définis dans l'option avancée DCUI.Access

Utilisateurs exceptionnels disposant des privilèges d'administrateur sur l'hôte

Utilisateurs définis dans l'option avancée DCUI.Access

Utilisateurs exceptionnels disposant des privilèges d'administrateur sur l'hôte

Utilisateurs connectés à ESXi Shell lorsque le mode de verrouillage est activé

Les utilisateurs peuvent se connecter à ESXi Shell ou accéder à l'hôte via SSH avant que le mode de verrouillage soit activé. Dans ce cas, les utilisateurs présents dans la liste des utilisateurs exceptionnels et disposant de privilèges d'administrateur sur l'hôte restent connectés. À partir de vSphere 6.0, la session se termine pour tous les autres utilisateurs. Ce comportement s'applique à la fois au mode de verrouillage normal et strict.

Activation du mode de verrouillage à l'aide de vSphere Web Client

Vous pouvez activer le mode de verrouillage afin d'imposer l'apport des modifications de configuration via vCenter Server. vSphere 6.0 et versions ultérieures prennent en charge le mode de verrouillage normal et strict.

VMware, Inc. 88

Page 89

Sécurité vSphere

Si vous souhaitez interdire complètement tout accès direct à un hôte, vous pouvez sélectionner le mode de verrouillage strict. Le mode de verrouillage strict empêche d'accéder à un hôte si vCenter Server n'est pas disponible et que SSH et ESXi Shell sont désactivés. Reportez-vous à Comportement du mode de

verrouillage.

Procédure

1 Accédez à l'hôte dans l'inventaire de vSphere Web Client.

2 Cliquez sur Configurer.

3 Dans Système, sélectionnez Profil de sécurité.

4 Dans le panneau mode verrouillage, cliquez sur Modifier.

5 Cliquez sur Mode verrouillage et sélectionnez l'une des options du mode de verrouillage.

Option Description

Normal Vous pouvez accéder à l'hôte via vCenter Server. Seuls les utilisateurs qui se

trouvent dans la liste des utilisateurs exceptionnels et qui disposent des privilèges d'administrateur peuvent se connecter à l'interface utilisateur de la console directe. Si SSH ou ESXi Shell est activé, il peut être possible d'y accéder.

Strict Vous ne pouvez accéder à l'hôte que via vCenter Server. Si SSH ou ESXi Shell

est activé, les sessions des comptes de l'option avancée DCUI.Access et des comptes d'utilisateurs exceptionnels disposant de privilèges d'administrateur restent activées. Toutes les autres sessions sont terminées.

6 Cliquez sur OK.

Désactiver le mode de verrouillage à l'aide de vSphere Web Client

Désactivez le mode de verrouillage pour permettre des modifications de configuration à partir de connexions directes à l'hôte ESXi. Lorsque le mode de verrouillage est activé, la sécurité de l'environnement est accrue.

Dans vSphere 6.0, vous pouvez désactiver le mode de verrouillage comme suit :

Dans vSphere Web Client

Dans l'interface utilisateur de la console directe

Procédure

1 Accédez à l'hôte dans l'inventaire de vSphere Web Client.

2 Cliquez sur Configurer.

3 Dans Système, sélectionnez Profil de sécurité.

4 Dans le panneau mode verrouillage, cliquez sur Modifier.

Les utilisateurs peuvent désactiver à la fois le mode de verrouillage normal et strict dans vSphere Web Client.

Les utilisateurs qui peuvent accéder à l'interface utilisateur de la console directe sur l'hôte ESXi peuvent désactiver le mode de verrouillage normal. En mode de verrouillage strict, le service d'interface de console directe est arrêté.

VMware, Inc. 89

Page 90

Sécurité vSphere

5 Cliquez sur Mode verrouillage et sélectionnez Désactiver pour désactiver le mode de verrouillage.

Le système quitte le mode de verrouillage, vCenter Server affiche une alarme et une entrée est ajoutée au journal d'audit.

Activer ou désactiver le mode de verrouillage normal à partir de l'interface utilisateur de la console directe

Vous pouvez activer et désactiver le mode de verrouillage normal dans l'interface utilisateur de la console directe (DCUI). Vous ne pouvez activer et désactiver le mode de verrouillage strict que dans vSphere Web Client.

Lorsque l'hôte est en mode de verrouillage normal, les comptes suivants peuvent accéder à l'interface utilisateur de la console directe :

Les comptes de la liste des utilisateurs exceptionnels qui disposent des privilèges d'administrateur sur l'hôte. La liste des utilisateurs exceptionnels est destinée aux comptes de service tels qu'un agent de sauvegarde.

Les utilisateurs définis dans l'option avancée DCUI.Access de l'hôte. Cette option peut être utilisée pour activer l'accès en cas de défaillance irrémédiable.

Pour ESXi 6.0 et versions ultérieures, les autorisations de l'utilisateur sont conservées lorsque vous activez le mode de verrouillage. Les autorisations de l'utilisateur sont restaurées lorsque vous désactivez le mode de verrouillage à partir de l'interface de la console directe.

Remarque Si vous mettez à niveau un hôte en mode de verrouillage vers ESXi 6.0 sans quitter le mode

de verrouillage, puis que vous quittez ce mode après la mise à niveau, toutes les autorisations définies avant que l'hôte n'entre en mode de verrouillage sont perdues. Le système attribue le rôle d'administrateur à tous les utilisateurs qui se trouvent dans l'option avancée DCUI.Access afin d'assurer l'accès à l'hôte.

Pour conserver les autorisations, désactivez le mode de verrouillage de l'hôte dans vSphere Web Client avant la mise à niveau.

Procédure

1 Dans l'interface utilisateur de la console directe de l'hôte, appuyez sur F2 et ouvrez une session.

2 Faites défiler jusqu'au paramètre Configurer le mode verrouillage et appuyez sur Entrée pour

modifier le paramètre actuel.

3 Appuyez sur Échap jusqu'à ce que vous reveniez au menu principal de l'interface utilisateur de la

console directe.

Spéciﬁcation des comptes disposant de privilèges d'accès en mode de verrouillage

Vous pouvez spécifier les comptes de service qui peuvent accéder à l'hôte ESXi directement en les ajoutant à la liste des utilisateurs exceptionnels. Vous pouvez spécifier un utilisateur qui peut accéder à l'hôte ESXi en cas de défaillance irrémédiable de vCenter Server.

VMware, Inc. 90

Page 91

Sécurité vSphere

La version vSphere détermine ce que les différents comptes peuvent faire par défaut lorsque le mode de verrouillage est activé et comment vous pouvez modifier le comportement par défaut.

Dans vSphere 5.0 et versions antérieures, seul l'utilisateur racine peut se connecter à l'interface utilisateur de la console directe sur un hôte ESXi en mode de verrouillage.

Dans vSphere 5.1 et versions ultérieures, vous pouvez ajouter un utilisateur au paramètre système avancé DCUI.Access pour chaque hôte. L'option est utilisée en cas de défaillance irrémédiable de vCenter Server. Les sociétés verrouillent généralement le mot de passe de l'utilisateur disposant de cet accès dans un coffre-fort. Un utilisateur de la liste DCUI.Access n'a pas besoin de disposer de tous les privilèges administratifs sur l'hôte.

Dans vSphere 6.0 et versions ultérieures, le paramètre système avancé DCUI.Access est toujours pris en charge. En outre, vSphere 6.0 et versions ultérieures prennent en charge une liste des utilisateurs exceptionnels destinée aux comptes de service qui doivent se connecter directement à l'hôte. Les comptes d'administrateur disposant des privilèges d'administrateur, qui se trouvent dans la liste des utilisateurs exceptionnels, peuvent se connecter à ESXi Shell. En outre, ces utilisateurs peuvent se connecter à l'interface DCUI d'un hôte en mode de verrouillage normal et quitter ce même mode.

Spécifiez les utilisateurs exceptionnels dans vSphere Web Client

Remarque Les utilisateurs exceptionnels sont des utilisateurs locaux d'un hôte ou des utilisateurs

Active Directory disposant de privilèges définis localement pour l'hôte ESXi. Les utilisateurs qui sont membres d'un groupe Active Directory perdre leurs autorisations lorsque l'hôte est en mode de verrouillage.

Option avancée Ajouter des utilisateurs à DCUI.Access

En cas de défaillance irrémédiable, l'option avancée DCUI.Access vous permet de quitter le mode de verrouillage lorsque vous ne pouvez pas accéder à l'hôte depuis vCenter Server. Vous ajoutez des utilisateurs à la liste en modifiant les paramètres avancés de l'hôte à partir de vSphere Web Client.

Remarque Les utilisateurs de la liste DCUI.Access peuvent modifier les paramètres du mode de

verrouillage, quels que soient leurs privilèges. La possibilité de changer les modes de verrouillage peut affecter la sécurité de votre hôte. Pour les comptes de services qui ont besoin d'un accès direct à l'hôte, pensez plutôt à ajouter des utilisateurs à la liste des utilisateurs exceptionnels. Les utilisateurs exceptionnels peuvent uniquement exécuter les tâches pour lesquelles ils ont des privilèges. Reportezvous à la section Spécifier les utilisateurs exceptionnels du mode de verrouillage.

Procédure

1 Accédez à l'hôte dans le navigateur d'objets de vSphere Web Client.

2 Cliquez sur Configurer.

3 Dans la section Système, cliquez sur Paramètres système avancés, puis sur Modifier.

4 Appliquez le filtre à l'interface DCUI.

VMware, Inc. 91

Page 92

Sécurité vSphere

5 Dans la zone de texte DCUI.Access, entrez les noms d'utilisateur ESXi locaux, séparés par des

virgules.

L'utilisateur racine est inclus par défaut. Pensez à supprimer l'utilisateur racine de la liste DCUI.Access et à spécifier un compte nommé pour un meilleur contrôle.

6 Cliquez sur OK.

Spéciﬁer les utilisateurs exceptionnels du mode de verrouillage

Dans vSphere 6.0 et versions ultérieures, vous pouvez ajouter des utilisateurs à la liste des utilisateurs exceptionnels dans vSphere Web Client. Ces utilisateurs ne perdent pas leurs autorisations lorsque l'hôte entre en mode de verrouillage. Il est logique d'ajouter des comptes de services tels qu'un agent de sauvegarde à la liste des utilisateurs exceptionnels.

Les utilisateurs exceptionnels ne perdent pas leurs privilèges lorsque l'hôte entre en mode de verrouillage. Habituellement, ces comptes représentent des solutions tierces et des applications externes qui doivent continuer à fonctionner en mode de verrouillage.

Remarque La liste des utilisateurs exceptionnels est destinée aux comptes de service qui exécutent

des tâches très spécifiques, pas aux administrateurs. L'ajout d'utilisateurs administrateurs à la liste des utilisateurs exceptionnels annule le mode de verrouillage.

Les utilisateurs exceptionnels sont des utilisateurs locaux d'un hôte ou des utilisateurs Active Directory disposant de privilèges définis localement pour l'hôte ESXi. Ils ne sont ni membres d'un groupe Active Directory ni utilisateurs de vCenter Server. Ces utilisateurs sont autorisés à effectuer des opérations sur l'hôte en fonction de leurs privilèges. Par exemple, cela signifie que l'utilisateur en lecture seule ne peut pas désactiver le mode de verrouillage sur un hôte.

Procédure

1 Accédez à l'hôte dans l'inventaire de vSphere Web Client.

2 Cliquez sur Configurer.

3 Dans Système, sélectionnez Profil de sécurité.

4 Dans le panneau mode verrouillage, cliquez sur Modifier.

5 Cliquez sur Utilisateurs exceptionnels et sur l'icône représentant le signe plus pour ajouter des

utilisateurs exceptionnels.

Vériﬁer les niveaux d'acceptation des hôtes et des ﬁchiers VIB

Le niveau d'acceptation d'un VIB dépend du montant de certification de ce VIB. Le niveau d'acceptation de l'hôte dépend du niveau du VIB inférieur. Vous pouvez modifier le niveau d'acceptation de l'hôte si vous souhaitez autoriser les VIB de niveau inférieur. Vous pouvez supprimer les VIB CommunitySupported pour modifier le niveau d'acceptation de l'hôte.

VMware, Inc. 92

Page 93

Sécurité vSphere

Les VIB sont des modules logiciels qui incluent une signature de VMware ou d'un partenaire VMware. Pour protéger l'intégrité de l'hôte ESXi, n'autorisez pas les utilisateurs à installer des VIB non signés (communautaires). Un VIB non signé contient un code qui n'est ni certifié ni approuvé ni pris en charge par VMware ou ses partenaires. Les VIB communautaires n'ont pas de signature numérique.

Le niveau d'acceptation de l'hôte doit être le même ou moins restrictif que celui d'un VIB que vous souhaitez ajouter à l'hôte. Par exemple, si le niveau d'acceptation de l'hôte est VMwareAccepted, vous ne pouvez pas installer les VIB au niveau PartnerSupported. Vous pouvez utiliser des commandes ESXCLI pour définir le niveau de l'acceptation d'un hôte. Pour protéger la sécurité et l'intégrité de vos hôtes ESXi, ne permettez pas l'installation de VIB non signés (CommunitySupported) sur des hôtes dans des systèmes de production.

Le niveau d'acceptation d'un hôte ESXi s'affiche dans le Profil de sécurité dans vSphere Web Client.

Les niveaux d'acceptation suivants sont pris en charge.

VMwareCertified Le niveau d'acceptation VMwareCertified a les exigences les plus

contraignantes. Les VIB avec ce niveau sont soumis à des tests minutieux équivalents aux tests d'assurance qualité réalisés en interne de VMware pour la même technologie. Aujourd'hui, seuls les pilotes de programmes IOVP (I/O Vendor Program) sont publiés à ce niveau. VMware prend en charge les appels d'assistance pour les VIB avec ce niveau d'acceptation.

VMwareAccepted Les VIB avec ce niveau d'acceptation sont soumis à des tests de

vérification minutieux, mais ces tests ne testent pas entièrement chaque fonction du logiciel. Le partenaire exécute les tests et VMware vérifie le résultat. Actuellement, les fournisseurs CIM et les plug-ins PSA font partie des VIB publiés à ce niveau. VMware dirige les appels d'assistance pour les VIB avec ce niveau d'acceptation vers l'organisation d'assistance du partenaire.

PartnerSupported Les VIB avec le niveau d'acceptation PartnerSupported sont publiés par un

partenaire en qui VMware a confiance. Le partenaire effectue tous les tests. VMware ne vérifie pas les résultats. Ce niveau est utilisé pour une technologie nouvelle ou non courante que des partenaires souhaitent activer pour les systèmes VMware. Actuellement, les technologies VIB de pilotes telles que Infiniband, ATAoE et SSD sont à ce niveau avec des pilotes de matériel non standard. VMware dirige les appels d'assistance pour les VIB avec ce niveau d'acceptation vers l'organisation d'assistance du partenaire.

CommunitySupported Le niveau d'acceptation CommunitySupported est destiné aux VIB créés

par des individus ou des entreprises en dehors des programmes de partenariat de VMware. Les VIB à ce niveau d'acceptation ne sont soumis à aucun programme de test approuvé par VMware et ne sont pas pris en charge par l'assistance technique de VMware ou un partenaire de VMware.

VMware, Inc. 93

Page 94

Sécurité vSphere

Procédure

1 Connectez-vous à chaque hôte ESXi et vérifiez que le niveau d'acceptation est défini sur

VMwareCertified, VMwareAccepted ou PartnerSupported en exécutant la commande suivante.

esxcli software acceptance get

2 Si le niveau d'acceptation de l'hôte est CommunitySupported, déterminez si un ou plusieurs VIB sont

au niveau CommunitySupported en exécutant les commandes suivantes.

esxcli software vib list

esxcli software vib get -n vibname

3 Supprimez les VIB CommunitySupported en exécutant la commande suivante.

esxcli software vib remove --vibname vib

4 Modifiez le niveau d'acceptation de l'hôte en utilisant l'une des méthodes suivantes.

Option Description

Commande de l'interface de ligne de commande

vSphere Client (client HTML5) ou vSphere Web Client

esxcli software acceptance set --level acceptance_level

a Sélectionnez un hôte dans l'inventaire. b Sélectionnez l'onglet Configurer. c Développez le menu Système et sélectionnez Profil de sécurité. d Cliquez sur le bouton Modifier pour le niveau d'acceptation du profil d'image

hôte et choisissez le niveau d'acceptation.

Attribution de privilèges pour les hôtes ESXi

Les privilèges sont généralement octroyés aux utilisateurs par attribution d'autorisations aux objets hôtes ESXi gérés par un système vCenter Server. Si vous utilisez un hôte ESXi autonome, vous pouvez attribuer les privilèges directement.

Attribution d'autorisations aux hôtes ESXi gérés par vCenter Server

Si votre hôte ESXi est géré par vCenter Server, effectuez les tâches de gestion à l'aide de vSphere Web Client.

Vous pouvez sélectionner l'objet hôte ESXi dans la hiérarchie d'objets vCenter Server et attribuer le rôle d'administrateur à un nombre limité d'utilisateurs. Ces utilisateurs peuvent ensuite effectuer une gestion directe sur l'hôte ESXi. Reportez-vous à la section Utilisation des rôles pour assigner des privilèges.

Il est recommandé de créer au moins un compte d'utilisateur nommé et de lui attribuer des privilèges d'administration complets sur l'hôte, puis de l'utiliser à la place du compte racine. Définissez un mot de passe avec un niveau de complexité élevé pour le compte racine et limitez l'utilisation de ce compte. Ne supprimez pas le compte racine.

VMware, Inc. 94

Page 95

Sécurité vSphere

Attribution d'autorisations aux hôtes ESXi autonomes

Dans l'onglet Gestion de VMware Host Client, vous pouvez ajouter des utilisateurs locaux et définir des rôles personnalisés. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.

Pour toutes les versions d'ESXi, vous pouvez voir la liste des utilisateurs prédéfinis dans le fichier /etc/passwd.

Les rôles suivants sont prédéfinis.

Lecture seule Permet à un utilisateur d'afficher les objets associés à l'hôte ESXi, mais pas

de les modifier.

Administrateur Rôle d'administrateur.

Aucun accès Aucun accès. Ce rôle est le rôle par défaut. Vous pouvez remplacer le rôle

par défaut.

Vous pouvez gérer les utilisateurs et les groupes locaux et ajouter des rôles personnalisés locaux à un hôte ESXi à l'aide d'une instance de VMware Host Client directement connectée à l'hôte ESXi. Consultez la documentation de Gestion individuelle des hôtes vSphere - VMware Host Client.

À partir de vSphere 6.0, vous pouvez gérer les comptes d'utilisateurs locaux ESXi à l'aide des commandes de gestion de compte ESXCLI. Vous pouvez définir ou supprimer des autorisations sur les comptes Active Directory (utilisateurs et groupes) et sur les comptes locaux ESXi (utilisateurs uniquement) à l'aide des commandes de gestion des autorisations ESXCLI.

Remarque Si vous définissez un utilisateur pour l'hôte ESXi en le connectant directement à l'hôte et

qu'il existe un utilisateur de même nom dans vCenter Server, ces deux utilisateurs sont distincts. Si vous attribuez un rôle à l'utilisateur ESXi, il n'est pas attribué à l'utilisateur vCenter Server.

Privilèges prédéﬁnis

Si votre environnement ne comprend pas de système vCenter Server, les utilisateurs suivants sont prédéfinis.

Utilisateur racine

Par défaut, chaque hôte ESXi dispose d'un compte d'utilisateur racine unique ayant le rôle Administrateur. Ce compte d'utilisateur racine peut être utilisé pour l'administration locale et pour connecter l'hôte à vCenter Server.

L'attribution du privilège d'utilisateur racine peut faciliter l'accès à un hôte ESXi, car le nom est déjà connu. Un compte racine commun rend également plus difficile la mise en correspondance des actions avec les utilisateurs.

VMware, Inc. 95

Page 96

Sécurité vSphere

Pour optimiser l'audit, créez des comptes individuels avec des privilèges d'administrateur. Définissez un mot de passe très complexe pour le compte racine et limitez l'utilisation de ce compte (par exemple, pour une utilisation lors de l'ajout d'un hôte à vCenter Server). Ne supprimez pas le compte racine.

Il convient de s'assurer que tout compte disposant du rôle Administrateur sur un hôte ESXi est attribué à un utilisateur spécifique ayant un compte nommé. Utilisez les fonctionnalités Active Directory d'ESXi, qui vous permettent de gérer les informations d'identification Active Directory.

Important Vous pouvez supprimer les privilèges d'accès pour l'utilisateur

racine. Cependant, vous devez d'abord créer une autre autorisation au niveau de la racine, puisqu'un autre utilisateur est affecté au rôle d'administrateur.

Utilisateur vpxuser vCenter Server utilise les privilèges vpxuser pour gérer les activités de

l'hôte.

L'administrateur vCenter Server peut exécuter sur l'hôte la majorité des tâches de l'utilisateur racine, mais aussi programmer des tâches, utiliser des modèles, etc. Cependant, l'administrateur vCenter Server ne peut pas directement créer, supprimer ou modifier des utilisateurs et groupes locaux pour des hôtes. Seul un utilisateur disposant des privilèges d'administrateur peut effectuer ces tâches directement sur un hôte.

Remarque Vous ne pouvez pas gérer vpxuser via Active Directory.

Avertissement Ne modifiez vpxuser en aucune façon. Ne modifiez pas

son mot de passe. Ne modifiez pas ses autorisations. Dans le cas contraire, vous risquez d'avoir des difficultés à utiliser des hôtes via vCenter Server.

Utilisateur dcui L'utilisateur dcui s'exécute sur des hôtes et dispose des droits

d'Administrateur. L'objectif principal de cet utilisateur est de configurer des hôtes pour le mode verrouillage à partir de l'interface utilisateur de console directe (DCUI).

Cet utilisateur agit en tant qu'agent pour la console directe et ne peut pas être modifié ou utilisé par des utilisateurs interactifs.

Utilisation d'Active Directory pour gérer des utilisateurs ESXi

Vous pouvez configurer l'hôte ESXi afin qu'il utilise un service d'annuaire tel qu'Active Directory pour gérer les utilisateurs.

VMware, Inc. 96

Page 97

Sécurité vSphere

La création de comptes utilisateurs locaux sur chaque hôte pose des difficultés de synchronisation du nom et du mot de passe des comptes parmi plusieurs hôtes. Intégrez les hôtes ESXi à un domaine Active Directory pour éliminer la nécessité de créer et de maintenir des comptes utilisateurs locaux. L'utilisation d'Active Directory pour l'authentification des utilisateurs simplifie la configuration de l'hôte ESXi et réduit le risque de problèmes de configuration qui pourraient entraîner des accès non autorisés.

Lorsque vous utilisez Active Directory, les utilisateurs entrent les informations d'identification Active Directory et le nom de domaine du serveur Active Directory lorsqu'ils ajoutent un hôte à un domaine.

Conﬁgurer un hôte pour utiliser Active Directory

Vous pouvez configurer un hôte pour utiliser un service d'annuaire comme Active Directory afin de gérer les groupes de travail et les utilisateurs.

Lorsque vous ajoutez un hôte ESXi à Active Directory, le groupe DOMAIN ESX Admins obtient un accès administratif complet à l'hôte s'il existe. Si vous ne voulez pas rendre disponible l'accès administratif complet, consultez l'article 1025569 de la base de connaissances VMware pour une solution.

Si un hôte est provisionné avec Auto Deploy, les informations d'identification Active Directory ne peuvent pas être stockées sur les hôtes. Vous pouvez utiliser vSphere Authentication Proxy pour joindre l'hôte à un domaine Active Directory. Comme une chaîne d'approbation existe entre vSphere Authentication Proxy et l'hôte, Authentication Proxy peut joindre l'hôte au domaine Active Directory. Reportez-vous à la section Utiliser vSphere Authentication Proxy.

Remarque Lorsque vous définissez des paramètres de comptes d'utilisateurs dans Active Directory,

vous pouvez limiter les ordinateurs auxquels un utilisateur peut se connecter en fonction du nom de ces ordinateurs. Par défaut, aucune restriction équivalente n'est définie pour un compte utilisateur. Si vous définissez cette limitation, les demandes Bind LDAP pour le compte d'utilisateur échouent avec le message LDAP binding not successful, même si la demande provient d'un ordinateur référencé. Vous pouvez éviter ce problème en ajoutant le nom netBIOS du serveur Active Directory à la liste des ordinateurs auxquels le compte utilisateur peut se connecter.

Prérequis

Vérifiez que vous disposez d'un domaine Active Directory. Reportez-vous à la documentation de votre serveur d'annuaire.

Assurez-vous que le nom d'hôte d'ESXi est complet et inclut le nom de domaine de la forêt Active Directory.

fully qualified domain name = host_name.domain_name

Procédure

1 Synchronisez le temps entre ESXi et le système de service d'annuaire en utilisant NTP.

Consultez la base des connaissances Synchroniser les horloges ESXi avec un serveur de temps

réseau ou la base des connaissances VMware pour plus d'informations sur la synchronisation de

l'heure ESXi avec un contrôleur de domaine Microsoft.

VMware, Inc. 97

Page 98

Sécurité vSphere

2 Assurez-vous que les serveurs DNS que vous avez configurés pour l'hôte peuvent résoudre les noms

d'hôtes des contrôleurs Active Directory.

a Accédez à l'hôte dans le navigateur d'objets de vSphere Web Client.

b Cliquez sur Configurer.

c Sous Mise en réseau, cliquez sur Configuration TCP/IP.

d Sous Pile TCP/IP : par défaut, cliquez sur DNS et vérifiez que le nom d'hôte et les informations

relatives au serveur DNS de l'hôte sont correctes.

Utilisez vSphere Web Client pour rejoindre un domaine de service d'annuaire. Reportez-vous à Ajouter

un hôte à un domaine de service d'annuaire. Pour les hôtes provisionnés avec Auto Deploy, configurez

vSphere Authentication Proxy. Reportez-vous à la section Utiliser vSphere Authentication Proxy.

Ajouter un hôte à un domaine de service d'annuaire

Pour que votre hôte utilise un service d'annuaire, vous devez joindre l'hôte au domaine du service d'annuaire.

Vous pouvez entrer le nom de domaine de l'une des deux façons suivantes :

name.tld (par exemple, domain.com) : le compte est créé sous le conteneur par défaut.

name.tld/container/path (par exemple, domain.com/OU1/OU2) : le compte est créé sous une unité d'organisation (OU) précise.

Pour utiliser le service vSphere Authentication Proxy, consultezUtiliser vSphere Authentication Proxy.

Procédure

1 Accédez à l'hôte dans l'inventaire de vSphere Web Client.

2 Cliquez sur Configurer.

3 Sous Système, sélectionnez Services d'authentification.

4 Cliquez sur Joindre le domaine.

5 Entrez un domaine.

Utilisez le format name.tld ou name.tld/container/path.

6 Entrez le nom d'utilisateur et le mot de passe d'un utilisateur service d'annuaire autorisé à lier l'hôte

au domaine, puis cliquez sur OK.

7 (Facultatif) Si vous avez l'intention d'utiliser un proxy d'authentication, entrez l'adresse IP du serveur

proxy.

8 Cliquez sur OK pour fermer la boîte de dialogue Configuration des services d'annuaire.

VMware, Inc. 98

Page 99

Sécurité vSphere

Acher les paramètres du service d'annuaire

Vous pouvez afficher le type de serveur d'annuaire, le cas échéant, que l'hôte utilise pour authentifier les utilisateurs et les paramètres du serveur d'annuaire.

Procédure

1 Accédez à l'hôte dans l'inventaire de vSphere Web Client.

2 Cliquez sur Configurer.

3 Sous Système, sélectionnez Services d'authentification.

La page Services d'authentification affiche le service d'annuaire et les paramètres du domaine.

Utiliser vSphere Authentication Proxy

Vous pouvez ajouter des hôtes ESXi à un domaine Active Directory en utilisant vSphere Authentication Proxy plutôt que d'ajouter les hôtes explicitement au domaine Active Directory.

Vous devez simplement configurer l'hôte de sorte qu'il connaisse le nom de domaine du serveur Active Directory et l'adresse IP de vSphere Authentication Proxy. Lorsque vSphere Authentication Proxy est activé, il ajoute automatiquement les hôtes qui sont en cours de provisionnement avec Auto Deploy au domaine Active Directory. Vous pouvez également utiliser vSphere Authentication Proxy avec des hôtes qui ne sont pas provisionnés en utilisant Auto Deploy.

Auto Deploy Si vous provisionnez des hôtes avec Auto Deploy, vous pouvez configurer

un hôte de référence qui pointe vers Authentication Proxy. Vous pouvez configurer une règle qui applique le profil de l'hôte de référence à un hôte ESXi qui est provisionné avec Auto Deploy. vSphere Authentication Proxy stocke les adresses IP de tous les hôtes qu'Auto Deploy provisionne à l'aide de PXE dans sa liste de contrôle d'accès. Lorsque l'hôte démarre, il contacte vSphere Authentication Proxy, et vSphere Authentication Proxy joint ces hôtes, qui se trouvent déjà dans sa liste de contrôle d'accès, sur le domaine Active Directory.

Même si vous utilisez vSphere Authentication Proxy dans un environnement utilisant des certificats provisionnés par VMCA ou des certificats tiers, le processus se déroule de manière transparente si vous suivez les instructions d'utilisation des certificats personnalisés avec Auto Deploy.

VMware, Inc. 99

Page 100

Sécurité vSphere

Reportez-vous à Utiliser des certificats personnalisés avec Auto Deploy.

Autres hôtes ESXi Vous pouvez configurer d'autres hôtes pour qu'ils utilisent vSphere

Authentication Proxy si vous souhaitez que l'hôte puisse joindre le domaine sans utiliser les informations d'identification d'Active Directory. Cela signifie que vous n'avez pas besoin de transmettre les informations d'identification d'Active Directory à l'hôte, et que vous n'enregistrez pas les informations d'identification d'Active Directory dans le profil hôte.

Dans ce cas, vous ajoutez l'adresse IP de l'hôte à la liste de contrôle d'accès de vSphere Authentication Proxy, et vSphere Authentication Proxy autorise l'hôte basé sur son adresse IP par défaut. Vous pouvez activer l'autentification client de sorte que vSphere Authentication Proxy vérifie le certificat de l'hôte.

Remarque Vous ne pouvez pas utiliser vSphere Authentication Proxy dans un environnement qui prend

uniquement en charge IPv6.

Activer vSphere Authentication Proxy

Le service vSphere Authentication Proxy est disponible sur chaque système vCenter Server. Par défaut, ce service ne s'exécute pas. Si vous souhaitez utiliser vSphere Authentication Proxy dans votre environnement, vous pouvez démarrer ce service depuis vSphere Web Client ou depuis la ligne de commande.

Le service vSphere Authentication Proxy se lie à une adresse IPv4 pour communiquer avec vCenter Server et ne prend pas en charge IPv6. L'instance vCenter Server peut être sur une machine hôte dans un environnement réseau exclusivement IPv4 ou mixte, IPv4/IPv6. Cependant, lorsque vous spécifiez l'adresse de vSphere Authentication Proxy dans vSphere Web Client, vous devez spécifier une adresse IPv4.

Prérequis

Vous devez utiliser vCenter Server 6.5 ou une version plus récente. Dans les versions précédentes de vSphere, vSphere Authentication Proxy est installé séparément. Reportez-vous à la documentation de la version précédente du produit pour connaître les instructions.

Procédure

1 Connectez-vous à un système vCenter Server avec vSphere Web Client.

2 Cliquez sur Administration, puis sur Configuration système sous Déploiement.

3 Cliquez sur Services, puis sur le service VMware vSphere Authentication Proxy.

4 Cliquez sur l'icône verte Démarrer le service de la barre de menus, en haut de la fenêtre.

5 (Facultatif) Une fois le service démarré, cliquez sur Actions > Modifier le type de démarrage et

cliquez sur Automatique pour démarrer automatiquement le service par la suite.

VMware, Inc. 100

VMWARE ESXi - 6.7 Instruction Manual [fr]

Specifications and Main Features

Frequently Asked Questions

User Manual

Table des matières

À propos de la sécurité de vSphere

Sécurisation de l'hyperviseur ESXi

Sécurisation des systèmes vCenter Server et services associés

Sécurisation des machines virtuelles

Sécurisation de la couche de mise en réseau virtuelle

Mots de passe dans votre environnement vSphere

Meilleures pratiques en matière de sécurité et ressources de sécurité

Présentation des autorisations dans vSphere

Héritage hiérarchique des autorisations

Paramètres d'autorisation multiples

Exemple 1 : Héritage d'autorisations multiples

Exemple 2 : Autorisations d'enfant ignorant des autorisations de parent

Exemple 3 : Rôle d'utilisateur supprimant un rôle de groupe

Gestion des autorisations des composants vCenter

Ajouter une autorisation à un objet d'inventaire

Changer les paramètres de validation d'utilisateur

Autorisations globales

Ajouter une autorisation globale

Autorisations sur les objets de balise

Utilisation des rôles pour assigner des privilèges

Créer un rôle personnalisé

Rôles système de vCenter Server

Meilleures pratiques pour les rôles et les autorisations

Privilèges requis pour les tâches courantes

Sécurisation des hôtes ESXi 3

Recommandations générales de sécurité pour ESXi

Verrouillage des mots de passe et des comptes ESXi

Sécurité SSH

Clés SSH ESXi

Charger une clé SSH à l'aide d'une commande vifs

Charger une clé SSH à l'aide de HTTPS PUT

Périphériques PCI et PCIe et ESXi

Désactiver Managed Object Browser

Recommandations de sécurité pour la mise en réseau d'ESXi

Considérations relatives à la sécurité dans vSphere Auto Deploy

Contrôler l'accès aux outils de surveillance du matériel basée sur CIM

Configuration requise pour les demandes de signature de certificat ESXi

ESXi

Gérer les paramètres du pare-feu ESXi

Ajouter des adresses IP autorisées pour un hôte ESXi

Ports de pare-feu entrants et sortants pour les hôtes ESXi

Comportement du pare-feu client NFS

Commandes de pare-feu ESXCLI d' ESXi

Mode verrouillage

Comportement du mode de verrouillage

Activation du mode de verrouillage à l'aide de vSphere Web Client

Désactiver le mode de verrouillage à l'aide de vSphere Web Client

Activer ou désactiver le mode de verrouillage normal à partir de l'interface utilisateur de la console directe

Option avancée Ajouter des utilisateurs à DCUI.Access

Attribution de privilèges pour les hôtes ESXi

Utilisation d'Active Directory pour gérer des utilisateurs ESXi

Ajouter un hôte à un domaine de service d'annuaire

Utiliser vSphere Authentication Proxy

Activer vSphere Authentication Proxy