Guide de sécurité de
VMware vSphere
Replication
vSphere Replication 8.1
Guide de sécurité de VMware vSphere Replication
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
https://docs.vmware.com/fr/
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
docfeedback@vmware.com
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
VMware, Inc.
100-101 Quartier Boieldieu
92042 Paris La Défense
France
www.vmware.com/fr
Copyright © 2012–2018 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.
VMware, Inc. 2
Table des matières
À propos du guide de sécurité de VMware vSphere Replication 4
1
Document de référence à propos de la sécurité de vSphere Replication 5
2
Les services, ports et interfaces externes utilisés par le dispositif virtuel vSphere Replication 5
Fichiers de configuration vSphere Replication 8
Clé privée, certificat et keystore de vSphere Replication 9
Licence et fichier CLUF de vSphere Replication 9
Fichiers journaux de vSphere Replication 9
Comptes d'utilisateurs vSphere Replication 11
Correctifs et mises à jour de sécurité pour vSphere Replication 11
VMware, Inc. 3
À propos du guide de sécurité
de VMware vSphere Replication 1
Le guide de sécurité de VMware vSphere Replication constitue un document de référence concis
concernant les fonctions de sécurité de vSphere Replication.
Pour vous permettre de protéger votre installation vSphere Replication, ce guide décrit les fonctions de
sécurité intégrées à vSphere Replication et les mesures que vous pouvez prendre pour la protéger des
attaques.
n
Les ports, services et interfaces externes nécessaires au fonctionnement optimal de
vSphere Replication
n
Les options de configuration et les paramètres qui peuvent engendrer des problèmes de sécurité
n
L'emplacement des fichiers journaux et leur fonction
n
Les comptes de système requis
n
Des informations sur l'obtention des correctifs de sécurité les plus récents
Public cible
Ces informations sont à destination des décideurs informatiques, des architectes, des administrateurs et
de ceux qui souhaitent se familiariser avec les composants de sécurité de vSphere Replication.
VMware, Inc.
4
Document de référence à
propos de la sécurité de
vSphere Replication 2
Vous pouvez utiliser le document de référence à propos de la sécurité pour en savoir plus à propos des
fonctions de sécurité de vSphere Replication et les mesures que vous pouvez prendre pour protéger
votre environnement des attaques.
Ce chapitre aborde les rubriques suivantes :
n
Les services, ports et interfaces externes utilisés par le dispositif virtuel vSphere Replication
n
Fichiers de configuration vSphere Replication
n
Clé privée, certificat et keystore de vSphere Replication
n
Licence et fichier CLUF de vSphere Replication
n
Fichiers journaux de vSphere Replication
n
Comptes d'utilisateurs vSphere Replication
n
Correctifs et mises à jour de sécurité pour vSphere Replication
Les services, ports et interfaces externes utilisés par le
dispositif virtuel vSphere Replication
L'opération de vSphere Replication est dépendante de certains services, ports et interfaces externes.
Services vSphere Replication
L'opération de vSphere Replication est dépendante de différents services qui s'exécutent sur le dispositif
virtuel vSphere Replication.
Tableau 2‑1. Services vSphere Replication
Nom du
service Type de démarrage Description
hms Automatique pour le dispositif vSphere Replication.
Désactivé pour le dispositif additionnel
vSphere Replication.
hbrsrv Automatique Service vSphere Replication
sshd Désactivé par défaut. Service SSH
Service de gestion vSphere Replication
VMware, Inc. 5
Guide de sécurité de VMware vSphere Replication
Tableau 2‑1. Services vSphere Replication (suite)
Nom du
service Type de démarrage Description
ntp Automatique Service de temps pour la synchronisation avec un serveur
de temps Internet via NTP.
Remarque Après l'installation ou la mise à niveau d'un
dispositif virtuel vSphere Replication, vous devez
synchroniser le dispositif avec un serveur de temps.
vaos Automatique Initialisation du SE invité qui génère les paramètres
réseau, les paramètres de nom d'hôte, la création de clés
SSH, l'acceptation du CLUF, l'exécution des scripts de
démarrage et l'initialisation VAMI.
Ports de communication
vSphere Replication utilise différents ports de communication et protocoles.
Le dispositif vSphere Replication nécessite l'ouverture de certains ports.
Remarque Les serveurs vSphere Replication doivent disposer d'un accès de trafic NFC à destination
des serveurs ESXi cibles.
Tableau 2‑2. Ports utilisés par le dispositif vSphere Replication
Protoco
Source Cible Port
Dispositif
vSphere Replication
Serveur
vSphere Replication
dans le dispositif
vSphere Replication
Dispositif
vSphere Replication
Serveur
vSphere Replication
dans le dispositif
vSphere Replication
Navigateur Dispositif
Instance de
vCenter Server locale
et distante
Hôte ESXi (intrasite) 80 HTTP Utilisé pour établir la connexion avant le démarrage
Instance de
vCenter Server locale
et distante
Hôte ESXi (intrasite
uniquement) sur site
secondaire
vSphere Replication
80 TCP Tout le trafic de gestion vers le dispositif
443 TCP Intégralité du trafic de gestion vers le dispositif
902 TCP et
5480 HTTPS Interface utilisateur Web VAMI (Virtual Appliance
le Description
vSphere Replication est envoyé sur le port 80 sur le
système proxy vCenter Server.
de la réplication initiale.
vSphere Replication.
Utilisé par les serveurs vSphere Replication pour
UDP
envoyer le trafic de réplication vers les hôtes ESXi de
destination.
Management Interface) vSphere Replication
Proxy vCenter Server Dispositif
vSphere Replication
VMware, Inc. 6
8043 SOAP Communication intrasite du proxy vCenter Server vers
le dispositif vSphere Replication.
Guide de sécurité de VMware vSphere Replication
Tableau 2‑2. Ports utilisés par le dispositif vSphere Replication (suite)
Protoco
Source Cible Port
le Description
Dispositif
vSphere Replication
Hôte ESXi sur le site
source
Serveur
vSphere Replication
Serveur
vSphere Replication
sur le site cible
8123 SOAP Trafic de gestion intrasite du serveur de gestion
vSphere Replication vers le serveur additionnel
vSphere Replication dans l'environnement.
31031 TCP Trafic de réplication initial et en cours de l'hôte ESXi
du site source vers le dispositif vSphere Replication
ou le serveur vSphere Replication du site cible.
Si vous déployez des serveurs vSphere Replication supplémentaires, vous devez ouvrir les ports requis
par vSphere Replication sur ces serveurs.
Tableau 2‑3. Ports utilisés par le serveur vSphere Replication
Protoco
Source Cible Port
Serveur
vSphere Replication
dans le dispositif
vSphere Replication
Navigateur Serveur
Serveur de gestion
vSphere Replication
Hôte ESXi (intrasite
uniquement) sur site
secondaire
vSphere Replication
Serveur
vSphere Replication
902 TCP et
5480 HTTPS Navigateur Web de l'administrateur.
8123 SOAP Trafic de gestion intrasite du dispositif
le Description
Trafic entre le serveur vSphere Replication et les
UDP
hôtes ESXi sur le même site. En particulier le trafic du
service NFC vers les serveurs ESXi de destination.
vSphere Replication ou du service de gestion
vSphere Replication vers les serveurs
vSphere Replication.
Hôte ESXi du site
source
Serveur
vSphere Replication
31031 TCP Trafic de réplication initial et direct de l'hôte ESXi du
site source vers le dispositif vSphere Replication ou le
serveur vSphere Replication du site cible.
Lors de la création d'une connexion vers le cloud, vCloud Tunneling Agent du dispositif
vSphere Replication crée un tunnel afin de sécuriser le transfert des données de réplication vers votre
organisation cloud.
VMware, Inc. 7
Guide de sécurité de VMware vSphere Replication
Tableau 2‑4. Ports requis pour les réplications cloud
Protoc
Source Destination Port
ole Description
L'hôte ESXi du site
source
Le dispositif
vSphere Replication
du site source
L'hôte ESXi du site
source
Le vCenter Server du
site source
API vCloud 443 REST
Le dispositif
vSphere Replication
du site source
80 TCP Le proxy inverse vCenter Server transmet la
via
HTTPS
10000–
10010
TCP vCloud Tunneling Agent ouvre un de ces ports au
demande de téléchargement du VIB (règles de parefeu vCloud Availability) au dispositif
vSphere Replication.
Le dispositif vSphere Replication se connecte à ce
port pour envoyer les données de réplication à une
organisation cloud.
dispositif vSphere Replication. L'hôte ESXi se
connecte à ce port pour envoyer les données de
réplication à une organisation cloud.
Composants tiers et Open Source
Pour trouver le texte complet des licences Open Source, une liste de tous les composants tiers et Open
Source, ainsi que le code Open Source utilisé dans vSphere Replication, vous pouvez accéder à
http://www.vmware.com/download/open_source.html et voir la section VMware vSphere Replication Open
Source and Licenses sous le lien VMware vSphere Open Source. Si une licence Open Source spécifique
le demande, le package vSphere Replication Open Source Disclosure Package (ODP) contient des
fichiers texte avec les instructions concernant la construction et le remplacement des bibliothèques
logicielles.
Fichiers de configuration vSphere Replication
Certains fichiers de configuration contiennent des paramètres qui affectent la sécurité de
vSphere Replication.
Remarque Toutes les ressources de sécurité sont protégées avec la propriété et les permissions
adéquates. Ne modifiez pas la propriété ou les permissions de ces fichiers.
Emplacement du fichier Description
/opt/vmware/hms/conf/hms-configuration.xml
/opt/vmware/hms/conf/embedded_db.cfg
La configuration du système par défaut du serveur de gestion
vSphere Replication.
Le fichier de configuration pour la base de données intégrée.
VMware, Inc. 8
Guide de sécurité de VMware vSphere Replication
Clé privée, certificat et keystore de vSphere Replication
La clé privée, le certificat et le keystore de vSphere Replication sont situés dans le dispositif virtuel
vSphere Replication.
Remarque Toutes les ressources de sécurité sont protégées avec la propriété et les permissions
adéquates. Ne modifiez pas la propriété ou les permissions de ces fichiers.
n
/etc/vmware/ssl/hbrsrv.crt
n
/etc/vmware/ssl/hbrsrv.key
n
/opt/vmware/hms/security/hms-keystore.jks
n
/opt/vmware/hms/security/hms-truststore.jks
Licence et fichier CLUF de vSphere Replication
Le contrat de licence d'utilisateur final (CLUF) et les fichiers de licence open source se situent dans le
dispositif virtuel vSphere Replication.
Fichier Emplacement
Licence Open Source
Licence VMware Postgres
contrat de licence d'utilisateur
final
/usr/share/doc/vmware-vspherereplication/OPEN_SOURCE_LICENSE
/usr/share/doc/vmware-
vspherereplication/VMware_Postgres_9.5.4.0_open_source_licenses.txt
/opt/vmware/etc/isv/EULA/language_code/0
Fichiers journaux de vSphere Replication
Les fichiers contenant les messages système situés dans le dispositif virtuel vSphere Replication.
Emplacement du fichier Description
/opt/vmware/hms/logs/hms-configtool.log
/opt/vmware/hms/logs/hms.n.log
/opt/vmware/var/log/lighttpd/error.log
Utilisé pour enregistrer les erreurs qui se produisent lors de la configuration
de l'interface VAMI (Virtual Appliance Management Interface).
Utilisé pour effectuer le suivi des informations d'exécution du serveur de
gestion vSphere Replication. Le fichier journal le plus récent est appelé
hms.log et les fichiers hms.n.log contiennent l'historique des messages
plus anciens. Le fichier avec la valeur n la plus élevée contient les messages
les plus anciens.
Le fichier journal d'erreurs VAMI Utilisé pour suivre les erreurs dans les
opérations VAMI.
/var/log/vmware/
/var/opt/apache-tomcat/logs/dr.log
VMware, Inc. 9
Le dossier contient les fichiers journaux du serveur vSphere Replication.
Utilisé pour suivre les problèmes de réplication.
Journaux d'interface utilisateur Site Recovery.
Guide de sécurité de VMware vSphere Replication
Historique de messages liés à la sécurité
Le fichier /opt/vmware/hms/logs/hms.log contient les messages d'événements de connexion et de
déconnexion, les messages d'erreur d'autorisation et les messages d'erreur de vérification de certificat
dans le format suivant.
n
Message de connexion
2015-03-23 15:54:05.558 DEBUG jvsl.security.authentication.sessionmap [tcweb-5]
(..security.authentication.SessionMap) operationID=087657ec-ef0f-494c-9739-
a4af62a5c049-HMS-1033 | Ajout d'une nouvelle session à la session
map:com.vmware.hms.security.authentication.HmsUserSession@234f4bed:[
com.vmware.vim.binding.hms.UserSession:
key = site_...1b034,
userName = root,
fullName = root ,
loginTime = ...,
lastActiveTime = ...,
hmsServers = null,
locale = en,
messageLocale = en
]
n
Message de déconnexion
15-03-23 15:54:05.585 INFO jvsl.security.authorization [tcweb-8]
(..security.authorization.SessionAuthorizer) |
HmsSessionManager.HmsSessionManagerLogout called on session-manager by
root@/10.26.233.124:50776 with opId 43263a64-1681-4459-a921-1d9406308dc8-HMS-1036
n
Message d'autorisation
2015-06-25 16:10:35.994 INFO jvsl.security.authorization [tcweb-5]
(..security.authorization.SessionAuthorizer) | Authorization for method
"HmsRemoteSiteManager.HmsRemoteSiteManagerFindHmsServer" failed.
(vim.fault.NoPermission) {
faultCause = null,
faultMessage = null,
object = MoRef: type = HmsRemoteSiteManager, value = site-manager, serverGuid =
18327b1a-dac2-44d9-972e-fa9dd99fce47,
VMware, Inc. 10
Guide de sécurité de VMware vSphere Replication
privilegeId = HmsRemote.com.vmware.vcHms.Hms.View
}
n
Message d'erreur de vérification de certificat
2015-06-25 16:19:13.794 WARN jvsl.sessions [hms-main-thread-1]
(..hms.net.ServerRegistryHms) | Can not start HMS connection to remote site
'some-address.com'
java.util.concurrent.ExecutionException:
com.vmware.vim.vmomi.client.exception.SslException:
javax.net.ssl.SSLHandshakeException:
com.vmware.vim.vmomi.client.exception.VlsiCertificateException: Server
certificate chain is not trusted and thumbprint doesn't match
Comptes d'utilisateurs vSphere Replication
Vous devez configurer un compte racine pour vSphere Replication. Le compte racine est utilisé pour
accéder à la fois à la console du dispositif virtuel et à l'interface VAMI (Virtual Appliance Management
Interface).
vSphere Replication utilise actuellement le compte racine en tant qu'administrateur de l'interface VAMI.
Aucun autre utilisateur n'est créé.
Lors du déploiement du dispositif virtuel vSphere Replication, vous définissez le mot de passe du compte
racine dans l'assistant de déploiement OVF.
Le mot de passe racine doit comporter au moins 8 caractères.
Privilèges assignés aux rôles d'utilisateur par défaut
vSphere Replication inclut un ensemble de rôles. Chaque rôle comporte un ensemble de privilèges qui
autorisent les utilisateurs disposant de ce rôle à effectuer différentes actions.
Consultez la rubrique Rôles et autorisations de vSphere Replication dans le guide Installation et
configuration de VMware vSphere Replication.
Correctifs et mises à jour de sécurité pour vSphere Replication
Le dispositif virtuel vSphere Replication utilise VMware Photon OS 2.0 comme système d'exploitation
invité.
Vous pouvez appliquer la dernière mise à jour de sécurité ou le dernier correctif en utilisant le fichier ISO
correspondant.
VMware, Inc. 11
Guide de sécurité de VMware vSphere Replication
Avant d'appliquer une mise à jour ou un correctif au système d'exploitation invité, prenez en compte les
dépendances. Reportez-vous à Les services, ports et interfaces externes utilisés par le dispositif virtuel
vSphere Replication.
Afin de recevoir les dernières annonces de sécurité, vous pouvez vous inscrire à la liste de diffusion
Annonces de sécurité VMware à l'adresse http://lists.vmware.com/.
VMware, Inc. 12
Loading...