Guide de sécurité de VMware vSphere
Replication
vSphere Replication 6.5
Ce document prend en charge la version de chacun des produits
répertoriés, ainsi que toutes les versions publiées par la suite
jusqu'au remplacement dudit document par une nouvelle
édition. Pour rechercher des éditions plus récentes de ce
document, rendez-vous sur :
http://www.vmware.com/fr/support/pubs.
FR-002115-00
Guide de sécurité de VMware vSphere Replication
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
hp://www.vmware.com/fr/support/
Le site Web de VMware propose également les dernières mises à jour des produits.
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
docfeedback@vmware.com
Copyright © 2012–2016 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
2 VMware, Inc.
VMware, Inc.
100-101 Quartier Boieldieu
92042 Paris La Défense
France
www.vmware.com/fr
Table des matières
À propos du guide de sécurité de VMware vSphere Replication 5
1
Document de référence à propos de la sécurité de vSphere Replication 7
2
Services, ports et interfaces externes utilisés par le dispositif virtuel vSphere Replication 7
Fichiers de conguration vSphere Replication 10
Clé privée, certicat et keystore de vSphere Replication 11
Licence et chier CLUF de vSphere Replication 11
Fichiers journaux de vSphere Replication 11
Comptes d'utilisateurs vSphere Replication 13
Correctifs et mises à jour de sécurité pour vSphere Replication 13
Index 15
VMware, Inc. 3
Guide de sécurité de VMware vSphere Replication
4 VMware, Inc.
À propos du guide de sécurité de
VMware vSphere Replication 1
Le guide de sécurité de VMware vSphere Replication constitue un document de référence concis concernant les
fonctions de sécurité de vSphere Replication.
Pour vous permere de protéger votre installation vSphere Replication, ce guide décrit les fonctions de
sécurité intégrées à vSphere Replication et les mesures que vous pouvez prendre pour la protéger des
aaques.
Les ports, services et interfaces externes nécessaires au fonctionnement optimal de vSphere Replication
n
Les options de conguration et les paramètres qui peuvent engendrer des problèmes de sécurité
n
L'emplacement des chiers journaux et leur fonction
n
Les comptes de système requis
n
Des informations sur l'obtention des correctifs de sécurité les plus récents
n
Public cible
Ces informations sont à destination des décideurs informatiques, des architectes, des administrateurs et de
ceux qui souhaitent se familiariser avec les composants de sécurité de vSphere Replication.
VMware, Inc.
5
Guide de sécurité de VMware vSphere Replication
6 VMware, Inc.
Document de référence à propos de
la sécurité de vSphere Replication 2
Vous pouvez utiliser le document de référence à propos de la sécurité pour en savoir plus à propos des
fonctions de sécurité de vSphere Replication et les mesures que vous pouvez prendre pour protéger votre
environnement des aaques.
Ce chapitre aborde les rubriques suivantes :
« Services, ports et interfaces externes utilisés par le dispositif virtuel vSphere Replication », page 7
n
« Fichiers de conguration vSphere Replication », page 10
n
« Clé privée, certicat et keystore de vSphere Replication », page 11
n
« Licence et chier CLUF de vSphere Replication », page 11
n
« Fichiers journaux de vSphere Replication », page 11
n
« Comptes d'utilisateurs vSphere Replication », page 13
n
« Correctifs et mises à jour de sécurité pour vSphere Replication », page 13
n
Services, ports et interfaces externes utilisés par le dispositif virtuel vSphere Replication
L'opération de vSphere Replication est dépendante de certains services, ports et interfaces externes.
Services vSphere Replication
L'opération de vSphere Replication est dépendante de diérents services qui s'exécutent sur le dispositif
virtuel vSphere Replication.
Tableau 2‑1. Services vSphere Replication
Nom du service Type de démarrage Description
hms Automatique pour le dispositif
vSphere Replication. Désactivé pour
le dispositif additionnel
vSphere Replication.
hbrsrv Automatique Service vSphere Replication
sshd Automatique Désactivé par défaut.
VMware, Inc. 7
Service de gestion vSphere Replication
Guide de sécurité de VMware vSphere Replication
Tableau 2‑1. Services vSphere Replication (suite)
Nom du service Type de démarrage Description
ntp Automatique Service de temps pour la
vaos Automatique Initialisation du SE invité qui génère
Ports de communication
vSphere Replication utilise diérents ports de communication et protocoles.
Le dispositif vSphere Replication nécessite l'ouverture de certains ports.
synchronisation avec un serveur de
temps Internet via NTP.
Remarque Après l'installation ou la
mise à niveau d'un dispositif virtuel
vSphere Replication, vous devez
synchroniser le dispositif avec un
serveur de temps.
les paramètres réseau, les paramètres
de nom d'hôte, la création de clés SSH,
l'acceptation du CLUF, l'exécution des
scripts de démarrage et l'initialisation
VAMI.
Remarque Les serveurs vSphere Replication doivent disposer d'un accès de trac NFC à destination des
serveurs ESXi cibles.
Tableau 2‑2. Ports utilisés par le dispositif vSphere Replication
Source Cible Port Protocole Description
dispositif
vSphere Replication
Serveur
vSphere Replication
dans le dispositif
vSphere Replication
Serveur
vSphere Replication
dans le dispositif
vSphere Replication
Navigateur Dispositif
Proxy vCenter Server Dispositif
vCenter Server
distant
Hôte ESXi distant 80 HTTP Utilisé pour établir la
Hôte ESXi distant 902 TCP et UDP Utilisé par les serveurs
vSphere Replication
vSphere Replication
80 TCP Tout le trac de
gestion vers le
dispositif
vSphere Replication
est envoyé sur le
port 80 sur le système
proxy vCenter Server.
connexion avant le
démarrage de la
réplication initiale.
vSphere Replication
pour envoyer le trac
de réplication vers les
hôtes ESXi de
destination.
5480 HTTPS Interface utilisateur
Web VAMI (Virtual
Appliance
Management
Interface)
vSphere Replication
8043 SOAP Communication
intrasite du proxy
vCenter Server vers le
dispositif
vSphere Replication.
8 VMware, Inc.
Chapitre 2 Document de référence à propos de la sécurité de vSphere Replication
Tableau 2‑2. Ports utilisés par le dispositif vSphere Replication (suite)
Source Cible Port Protocole Description
Dispositif
vSphere Replication
vSphere Web Client
sur le site source
Hôte ESXi sur le site
source
Serveur
vSphere Replication
vCenter Server
Inventory Service sur
le site cible
Serveur
vSphere Replication
sur le site cible
8123 SOAP Trac de gestion
intrasite du serveur de
gestion
vSphere Replication
vers le serveur
additionnel
vSphere Replication
dans l'environnement.
10443 HTTPS L'interface utilisateur
vSphere Replication
utilise Inventory
Service sur
vCenter Server distant
pour lister les banques
de données cibles.
31031 Trac de réplication
initial et en cours de
l'hôte ESXi du site
source vers le
dispositif
vSphere Replication
ou le serveur
vSphere Replication
du site cible.
Si vous déployez des serveurs vSphere Replication, vous devez ouvrir les ports requis par
vSphere Replication sur ces serveurs.
Tableau 2‑3. Ports utilisés par le serveur vSphere Replication
Source Cible Port Protocole Description
Serveur
vSphere Replication
dans le dispositif
vSphere Replication
Navigateur Serveur
Serveur de gestion
vSphere Replication
Hôte ESXi du site
source
Hôte ESXi distant 902 TCP et UDP Trac entre le serveur
vSphere Replication et
les hôtes ESXi sur le
même site. En
particulier le trac du
service NFC vers les
serveurs ESXi de
destination.
5480 HTTPS Navigateur Web de
vSphere Replication
Serveur
vSphere Replication
Serveur
vSphere Replication
8123 SOAP Trac de gestion
31031 Trac de réplication
l'administrateur.
intrasite du dispositif
vSphere Replication
ou du service de
gestion
vSphere Replication
vers les serveurs
vSphere Replication.
initial et en cours de
l'hôte ESXi du site
source vers le
dispositif
vSphere Replication
ou le serveur
vSphere Replication
du site cible.
VMware, Inc. 9
Guide de sécurité de VMware vSphere Replication
Lors de la création d'une connexion vers le cloud, vCloud Tunneling Agent du dispositif
vSphere Replication crée un tunnel an de sécuriser le transfert des données de réplication vers votre
organisation cloud.
Tableau 2‑4. Ports requis pour les réplications cloud
Source Destination Port Protocole Description
L'hôte ESXi du site
source
Le dispositif
vSphere Replication
du site source
L'hôte ESXi du site
source
Le vCenter Server du
site source
API vCloud 443 REST via HTTPS Le dispositif
Le dispositif
vSphere Replication
du site source
80 TCP Le proxy inverse
vCenter Server
transmet la demande
de téléchargement du
VIB (règles de parefeu
vCloud Air Disaster
Recovery) au
dispositif
vSphere Replication.
vSphere Replication se
connecte à ce port
pour envoyer les
données de réplication
à une organisation
cloud.
10000-10010 TCP vCloud Tunneling
Agent ouvre un de ces
ports au dispositif
vSphere Replication.
L'hôte ESXi se
connecte à ce port
pour envoyer les
données de réplication
à une organisation
cloud.
Composants tiers et Open Source
Pour trouver le texte complet des licences Open Source, une liste de tous les composants tiers et Open
Source, ainsi que le code Open Source utilisé dans vSphere Replication, vous pouvez accéder à
hp://www.vmware.com/download/open_source.html et voir la section VMware vSphere Replication Open
Source and Licenses sous le lien VMware vSphere Open Source. Si certaines licences Open Source le demandent,
le package vSphere Replication Open Source Disclosure Package (ODP) contient des chiers texte avec les
instructions concernant la construction et le remplacement des bibliothèques logicielles.
Fichiers de configuration vSphere Replication
Certains chiers de conguration contiennent des paramètres qui aectent la sécurité de
vSphere Replication.
Remarque Toutes les ressources de sécurité sont protégées avec la propriété et les permissions adéquates.
Ne modiez pas la propriété ou les permissions de ces chiers.
Emplacement du fichier Description
/opt/vmware/hms/conf/hms-configuration.xml
/opt/vmware/hms/conf/embedded_db.cfg
La conguration du système par défaut du serveur de
gestion vSphere Replication.
Le chier de conguration pour la base de données
intégrée.
10 VMware, Inc.
Chapitre 2 Document de référence à propos de la sécurité de vSphere Replication
Clé privée, certificat et keystore de vSphere Replication
La clé privée, le certicat et le keystore de vSphere Replication sont situés dans le dispositif virtuel
vSphere Replication.
Remarque Toutes les ressources de sécurité sont protégées avec la propriété et les permissions adéquates.
Ne modiez pas la propriété ou les permissions de ces chiers.
/etc/vmware/ssl/hbrsrv.crt
n
/etc/vmware/ssl/hbrsrv.key
n
/opt/vmware/hms/security/hms-keystore.jks
n
/opt/vmware/hms/security/hms-truststore.jks
n
Licence et fichier CLUF de vSphere Replication
Le contrat de licence d'utilisateur nal (CLUF) et les chiers de licence open source se situent dans le
dispositif virtuel vSphere Replication.
Fichier Emplacement
Licence Open Source
Licence VMware Postgres
contrat de licence
d'utilisateur nal
/usr/share/doc/vmware-vspherereplication/OPEN_SOURCE_LICENSE
/usr/share/doc/vmwarevspherereplication/VMware_Postgres_9.5.4.0_open_source_licenses.txt
/opt/vmware/etc/isv/EULA/language_code/0
Fichiers journaux de vSphere Replication
Les chiers contenant les messages système situés dans le dispositif virtuel vSphere Replication.
Emplacement du fichier Description
/opt/vmware/hms/logs/hms-configtool.log
/opt/vmware/hms/logs/hms.n.log
/opt/vmware/var/log/lighttpd/error.log
/var/log/vmware/
/var/log/boot.msg
Historique de messages liés à la sécurité
Le chier /opt/vmware/hms/logs/hms.log contient les messages d'événements de connexion et de
déconnexion, les messages d'erreur d'autorisation et les messages d'erreur de vérication de certicat dans
le format suivant.
Utilisé pour enregistrer les erreurs qui se produisent lors de la
conguration de l'interface VAMI (Virtual Appliance Management
Interface).
Utilisé pour suivre l'exécution.informations d'heure du serveur de
gestion vSphere Replication Le chier journal le plus récent est appelé
hms.log et les chiers hms.n.log contiennent l'historique des
messages plus anciens. Le chier avec la valeur n la plus élevée
contient les messages les plus anciens.
Le chier journal d'erreurs VAMI Utilisé pour suivre les erreurs dans
les opérations VAMI.
Le dossier contient les chiers journaux du serveur
vSphere Replication. Utilisé pour suivre les problèmes de réplication.
Utilisé pour suivre le processus de démarrage du dispositif
vSphere Replication.
Message de connexion
n
VMware, Inc. 11
Guide de sécurité de VMware vSphere Replication
2015-03-23 15:54:05.558 DEBUG jvsl.security.authentication.sessionmap [tcweb-5]
(..security.authentication.SessionMap) operationID=087657ec-ef0f-494c-9739-a4af62a5c049-
HMS-1033 | Ajout d'une nouvelle session à la session
map:com.vmware.hms.security.authentication.HmsUserSession@234f4bed:[
com.vmware.vim.binding.hms.UserSession:
key = site_...1b034,
userName = root,
fullName = root ,
loginTime = ...,
lastActiveTime = ...,
hmsServers = null,
locale = en,
messageLocale = en
]
Message de déconnexion
n
15-03-23 15:54:05.585 INFO jvsl.security.authorization [tcweb-8]
(..security.authorization.SessionAuthorizer) | HmsSessionManager.HmsSessionManagerLogout
called on session-manager by root@/10.26.233.124:50776 with opId 43263a64-1681-4459-
a921-1d9406308dc8-HMS-1036
Message d'autorisation
n
2015-06-25 16:10:35.994 INFO jvsl.security.authorization [tcweb-5]
(..security.authorization.SessionAuthorizer) | Authorization for method
"HmsRemoteSiteManager.HmsRemoteSiteManagerFindHmsServer" failed.
(vim.fault.NoPermission) {
faultCause = null,
faultMessage = null,
object = MoRef: type = HmsRemoteSiteManager, value = site-manager, serverGuid = 18327b1a-
dac2-44d9-972e-fa9dd99fce47,
privilegeId = HmsRemote.com.vmware.vcHms.Hms.View
}
Message d'erreur de vérication de certicat
n
2015-06-25 16:19:13.794 WARN jvsl.sessions [hms-main-thread-1] (..hms.net.ServerRegistryHms)
| Can not start HMS connection to remote site 'some-address.com'
java.util.concurrent.ExecutionException: com.vmware.vim.vmomi.client.exception.SslException:
javax.net.ssl.SSLHandshakeException:
com.vmware.vim.vmomi.client.exception.VlsiCertificateException: Server certificate chain is
not trusted and thumbprint doesn't match
12 VMware, Inc.
Chapitre 2 Document de référence à propos de la sécurité de vSphere Replication
Comptes d'utilisateurs vSphere Replication
Vous devez congurer un compte racine pour vSphere Replication. Le compte racine est utilisé pour accéder
à la fois à la console du dispositif virtuel et à l'interface VAMI (Virtual Appliance Management Interface).
vSphere Replication utilise actuellement le compte racine en tant qu'administrateur de l'interface VAMI.
Aucun autre utilisateur n'est créé.
Lors du déploiement du dispositif virtuel vSphere Replication, vous dénissez le mot de passe du compte
racine dans l'assistant de déploiement OVF.
Le mot de passe racine doit comporter au moins 8 caractères.
Privilèges assignés aux rôles d'utilisateur par défaut
vSphere Replication inclut un ensemble de rôles. Chaque rôle comporte un ensemble de privilèges qui
autorisent les utilisateurs disposant de ce rôle à eectuer diérentes actions.
Consultez la rubrique Rôles et autorisations de vSphere Replication dans le guide Installation et conguration
de VMware vSphere Replication.
Correctifs et mises à jour de sécurité pour vSphere Replication
Le dispositif virtuel vSphere Replication utilise SUSE Linux Enterprise Server 12 (x86_64), Service Pack 1
comme système d'exploitation invité.
Vous pouvez appliquer la dernière mise à jour de sécurité ou le dernier correctif en utilisant le chier ISO
correspondant.
Avant d'appliquer une mise à jour ou un correctif au système d'exploitation invité, prenez en compte les
dépendances. Reportez-vous à « Services, ports et interfaces externes utilisés par le dispositif virtuel vSphere
Replication », page 7.
An de recevoir les dernières annonces de sécurité, vous pouvez vous inscrire à la liste de diusion
Annonces de sécurité VMware à l'adresse hp://lists.vmware.com/.
VMware, Inc. 13
Guide de sécurité de VMware vSphere Replication
14 VMware, Inc.
Index
C
certificat 11
CLUF 11
comptes d'utilisateurs 13
correctifs 13
D
document de référence à propos de la
sécurité 7
E
embedded_db.cfg 10
F
fichier de licence 11
H
hms-configuration.xml 10
https 7
J
journaux 11
journaux système 11
sshd 7
K
keystore 11
L
licences 11
M
magasin d'approbations 11
mises à jour de sécurité 13
mot de passe racine 13
N
ntp 7
P
ports 7
privilèges 13
public cible 5
S
SE invité 13
services 7
VMware, Inc. 15
Guide de sécurité de VMware vSphere Replication
16 VMware, Inc.
Loading...