Empfohlene Einstellungen für vSphere 7: VMware veröffentlicht Security Configuration Guide

    VMware vSphere 7Der Security Configuration Guide ver­sammelt Best Practices, mit denen sich Instal­lationen von vSphere 7 härten lassen. Laut VMware handelt es sich dabei um das erste größere Update seit mehreren Jahren, das sich nicht nur an den neuen Features, sondern auch an den geänderten Bedro­hungen orientiert.

    Anders als bei Microsofts Security Baseline für Windows oder Office handelt es sich beim Security Configuration Guide um keine empfohlene Konfiguration, die man einfach in das System importieren kann. Vielmehr besteht sie im Kern aus einer Excel-Tabelle mit Dutzenden von vSphere-Einstellungen.

    Empfehlungen für ESXi, vCenter, VMs und Gast-OS

    Diese ist in vier Arbeitsblätter unterteilt, welche jeweils die Konfigurations­optionen für ESXi, vCenter Server, virtuelle Maschinen und Gastbetriebs­systeme enthalten. Hinzu kommt in der aktuellen Version eine Registerkarte für veraltete Einstellungen ("deprecated").

    Besonders aufschlussreich ist die Gegen­überstellung der Standardwerte mit den empfohlenen Einstellungen. Hier erkennt ein Admin sofort, wo es Abweichungen zwischen den Best Practices und den Einstellungen eines frisch installierten Systems gibt. Daraus folgt allerdings noch nicht, dass er einfach überall die Werte aus dem Security Configuration Guide übernehmen soll.

    Nebeneffekte testen

    VMware weist darauf hin, dass die Empfehlungen rein unter Sicherheits­gesichts­punkten erstellt wurden und es liegt in der Verantwortung der Anwender, mögliche Auswirkungen auf Performance und Funktionalität in ihrer Umgebung zu testen.

    Aus dem Security Configuration Guide ist leicht zu entnehmen, ob die Defaults von den Empfehlungen abweichen.

    Als Handlungs­anleitung enthält die Excel-Tabelle eine Spalte mit der Bezeichnung Action Needed, die empfiehlt, was bei der jeweiligen Einstellung zu tun ist. Die vier Aktionen dort bedeuten:

    • Add: Der betreffende Parameter muss erst hinzugefügt werden, um die empfohlene Einstellung zu konfigurieren.
    • Audit: Die Einstellung sollte geprüft und geändert werden, falls sie nicht korrekt ist.
    • Audit or Remove: Der Guide empfiehlt eine Einstellung, die identisch ist mit dem Standard in vSphere 7. Nachdem man eventuelle Abweichungen korrigiert hat, kann man den Parameter entfernen.
    • Modify: Der Parameter bzw. die Einstellung sollte bereits existieren und angepasst werden.

    Zielgruppe

    Der Security Configuration Guide richtet sich an Unternehmen, die vSphere selbst auf ihrer Hardware implementieren. VMware rät davon ab, ihn einfach auf vorgefertigte Lösungen wie die VxRail-Appliances von Dell EMC oder auf hybride Cloud-Infrastrukturen anzuwenden.

    Schließlich wird die Dokumentation des Guides nicht müde zu betonen, dass auch die restriktivste Konfiguration nur bedingt hilft, wenn andere wichtige Maßnahmen vernachlässigt werden. Dazu gehören vor allem das zügige Einspielen von Updates oder die Reduktion der Angriffsfläche, etwa durch Deaktivieren von SSH.

    Der Security Configuration Guide kann von der VMware-Website herunter­geladen werden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Keine Kommentare