Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança do vSphere Atualizar 3 VMware vSphere 7.0 VMware ESXi 7.0 vCenter Server 7.0 Este documento foi traduzido automaticamente do inglês. Se você observar algum erro de tradução, deixe seu feedback na parte inferior da página específica da publicação no VMware Docs. Você pode encontrar a documentação técnica mais atualizada no site da VMware, em: https://docs.vmware.com/br/ VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com VMware Brasil Rua Surubim, 504 4º andar CEP 04571-050 Cidade Monções São Paulo SÃO PAULO: 04571-050 Brasil Tel: +55 11 55097200 Fax: + 55. 11. 5509-7224 www.vmware.com/br Copyright © 2009-2021 VMware, Inc. Todos os direitos reservados. Informações sobre direitos autorais e marca registrada. Segurança do vSphere VMware, Inc. Traduzido automaticamente 2 https://docs.vmware.com/br/ https://docs.vmware.com/copyright-trademark.html https://docs.vmware.com/copyright-trademark.html Conteúdo Sobre a segurança do vSphere 14 1 Segurança no ambiente vSphere 17 Protegendo o ESXi hipervisor 17 Protegendo vCenter Server sistemas e serviços associados 19 Protegendo máquinas virtuais 21 Protegendo a camada de rede virtual 22 Senhas no seu ambiente vSphere 24 Melhores práticas e recursos de segurança 25 2 Permissões do vSphere e tarefas de gerenciamento de usuários 27 Entendendo a autorização no vSphere 28 Herança hierárquica de permissões 32 Várias configurações de permissão 35 Exemplo 1: Herança de permissão de vários grupos 35 Exemplo 2: permissões herdeiras substituindo as permissões principais 36 Exemplo 3: função do usuário substituindo a função do grupo 37 Gerenciando permissões para componentes do vCenter 37 Adicionar uma permissão a um objeto de inventário 38 Alterar ou remover permissões 39 Alterar as configurações de validação do usuário 39 Permissões globais 40 Adicionar uma permissão global 41 Permissões em objetos de tag 42 Usando funções para atribuir privilégios 43 Criar uma função personalizada do vCenter Server 45 vCenter Server Funções do sistema 46 Práticas recomendadas para funções e permissões 47 Privilégios necessários para tarefas comuns 48 3 Protegendo ESXi hosts 53 Recomendações de segurança ESXi gerais 54 Configurações avançadas do sistema 56 Configurar ESXi hosts com perfis de host 59 Usar scripts para gerenciar as definições de configuração do host 59 ESXi Senhas e bloqueio de conta 61 Geração de chave criptográfica 63 Segurança SSH 65 VMware, Inc. Traduzido automaticamente 3 ESXi Chaves SSH 65 Dispositivos PCI e PCIe e ESXi 67 Desativar o navegador de objetos gerenciados 68 ESXi Recomendações de segurança de rede 69 Modificando as configurações de proxy da Web ESXi 69 Considerações sobre a segurança do vSphere Auto Deploy 70 Controlar o acesso para ferramentas de monitoramento de hardware baseadas em CIM 71 Gerenciamento de certificados para ESXi hosts 72 Atualizações de host e certificados 74 Fluxos de trabalho de alternância de modo de certificado 75 Configurações padrão do certificado do ESXi 78 Alterar as configurações padrão do certificado 79 Exibir informações de expiração de certificado para vários ESXi hosts 80 Exibir detalhes do certificado para um único host ESXi 80 Renovar ou atualizar ESXi certificados 81 Alterar o modo de certificado 82 Substituindo ESXi certificados e chaves SSL 83 Requisitos para ESXi solicitações de assinatura de certificado 84 Substitua o certificado e a chave padrão do ESXi Shell 84 Substituir um certificado e uma chave padrão pelo comando vifs 85 Substituir um certificado padrão usando HTTPS PUT 86 Atualizar o vCenter Server TRUSTED_ROOTS Store (certificados personalizados) 87 Usar certificados personalizados com implantação automática 88 Restaurar ESXi certificado e arquivos de chave 89 Personalizando hosts com o perfil de segurança 90 ESXi Configuração de firewall 91 Gerenciar ESXi configurações de firewall 91 Adicionar endereços IP permitidos para um host ESXi 92 Portas de firewall de entrada e saída para ESXi hosts 93 Comportamento do firewall do cliente NFS 93 ESXi Comandos de firewall ESXCLI 94 Personalização de ESXi serviços do perfil de segurança 95 Ativar ou desativar um serviço 97 Modo de bloqueio 98 Comportamento do modo de bloqueio 98 Ativar modo de bloqueio 99 Desativar o modo de bloqueio 100 Ativar ou desativar o modo de bloqueio normal na interface de usuário do console direto 101 Especificando contas com privilégios de acesso no modo de bloqueio 102 Usando VIBs para realizar atualizações seguras 103 Segurança do vSphere VMware, Inc. Traduzido automaticamente 4 Gerenciar os níveis de aceitação de hosts e VIBs 104 Atribuindo privilégios para ESXi hosts 106 Usando o Active Directory para gerenciar ESXi usuários 109 Configurar um host para usar Active Directory 109 Adicionar um host a um domínio de serviço de diretório 110 Exibir configurações do serviço de diretório 111 Usando o vSphere Authentication Proxy 111 Habilitar o vSphere Authentication Proxy 112 Adicione um domínio a vSphere Authentication Proxy com o vSphere Client 113 Adicione um domínio ao vSphere Authentication Proxy com o comando camconfig 114 Use vSphere Authentication Proxy para adicionar um host a um domínio 115 Habilitar autenticação de cliente para vSphere Authentication Proxy 115 Importe o certificado do vSphere Authentication Proxy para o host do ESXi 116 Gerar um novo certificado para vSphere Authentication Proxy 117 Configurar o vSphere Authentication Proxy para usar certificados personalizados 118 Configurando a autenticação de cartão inteligente para ESXi 120 Habilitar autenticação de cartão inteligente 121 Desativar autenticação de cartão inteligente 122 Autenticação com nome de usuário e senha em caso de problemas de conectividade 122 Usando a autenticação de cartão inteligente no modo de bloqueio 122 Usando o ESXi Shell 123 Ative o acesso ao ESXi Shell 124 Criar um tempo limite para a disponibilidade de ESXi Shell 124 Criar um tempo limite para sessões ESXi Shell ociosas 125 Use a interface de usuário do console direto para habilitar o acesso ao ESXi Shell 126 Definir tempo limite de disponibilidade ou tempo limite de inatividade para o ESXi Shell 126 Faça login no ESXi Shell para solução de problemas 127 UEFI Secure Boot for ESXi Hosts 128 Executar o script de validação de inicialização segura em um host ESXi atualizado 129 Protegendo ESXi hosts com o Trusted Platform Module 130 Exibir o status do atestado de host do ESXi 132 Solucionar problemas de ESXi atestado de host 132 ESXi Arquivos de log 133 Configurar o Syslog em ESXi Hosts 133 ESXi Localizações do arquivo de log 135 Protegendo o tráfego de log de tolerância a falhas 136 Ativar criptografia de tolerância a falhas 136 Gerenciando ESXi registros de auditoria 137 Protegendo a configuração do ESXi 138 Protegendo a visão geral da configuração do ESXi 138 Visão geral das políticas de selagem do TPM 140 Segurança do vSphere VMware, Inc. Traduzido automaticamente 5 Gerenciando uma configuração ESXi segura 141 Liste o conteúdo da chave de recuperação de configuração ESXi segura 142 Alternar a chave de recuperação de configuração ESXi segura 142 Solução de problemas e recuperação da configuração ESXi segura 143 Recuperar a configuração do ESXi seguro 143 Ativar ou desativar a aplicação de inicialização segura para uma configuração ESXi segura 144 Ativar ou desativar a aplicação execInstalledOnly para uma configuração ESXi segura 147 4 Protegendo os sistemas vCenter Server 151 vCenter Server Práticas recomendadas de segurança 151 Práticas recomendadas para o controle de acesso de vCenter Server 151 Defina a política de senha do vCenter Server 153 Removendo certificados e logs expirados ou revogados de instalações com falha 153 Limitando a conectividade de rede vCenter Server 154 Avalie o uso de clientes Linux com CLIs e SDKs 154 Examinar os plug-ins do cliente 155 vCenter Server Práticas recomendadas de segurança156 Requisitos de senha e comportamento de bloqueio do vCenter 156 Verificar impressões digitais para hosts ESXi legados 157 Portas necessárias para vCenter Server 158 5 Protegendo máquinas virtuais 160 Ativar ou desativar a inicialização segura do UEFI para uma máquina virtual 160 Limitar mensagens informativas de máquinas virtuais a arquivos VMX 162 Práticas recomendadas de segurança de máquina virtual 163 Proteção geral da máquina virtual 164 Usar modelos para implantar máquinas virtuais 165 Minimize o uso do console da máquina virtual 165 Impedir que máquinas virtuais assumam recursos 166 Desativar funções desnecessárias dentro de máquinas virtuais 166 Remover dispositivos de hardware desnecessários 167 Desativar recursos de exibição não utilizados 168 Desativar recursos não expostos 168 Desativar VMware pastas compartilhadas que compartilham arquivos do host com a máquina virtual 169 Desativar operações de copiar e colar entre o sistema operacional convidado e o console remoto 170 Limitando a exposição de dados confidenciais copiados para a área de transferência 171 Impedir que os usuários executem comandos em uma máquina virtual 171 Impedir que um usuário ou processo de máquina virtual desconecte dispositivos 172 Segurança do vSphere VMware, Inc. Traduzido automaticamente 6 Impedir que processos do sistema operacional guest enviem mensagens de configuração para o host 173 Evite o uso de discos não persistentes independentes 173 Protegendo máquinas virtuais com as extensões de proteção de software da Intel 174 Visão geral do vSGX 174 Habilitar o vSGX em uma máquina virtual 175 Habilitar o vSGX em uma máquina virtual existente 176 Remover o vSGX de uma máquina virtual 177 Protegendo máquinas virtuais com o estado seguro criptografado pela virtualização criptografada da AMD 177 Visão geral do estado criptografado da virtualização criptografada da AMD 177 Adicione o estado criptografado de virtualização criptografado da AMD a uma máquina virtual com o vSphere Client 179 Adicionar o estado criptografado de virtualização criptografado da AMD a uma máquina virtual 180 Habilitar o estado criptografado de virtualização criptografado por AMD em uma máquina virtual existente com o vSphere Client 181 Habilitar o estado criptografado de virtualização criptografado da AMD em uma máquina virtual existente 182 Desativar o estado criptografado de virtualização criptografado da AMD em uma máquina virtual com o vSphere Client 184 Desativar o estado seguro de criptografia de virtualização criptografada da AMD em uma máquina virtual 184 6 Criptografia da máquina virtual 186 Comparação de provedores de chave do vSphere 187 Como o vSphere Virtual Machine Encryption protege seu ambiente 189 Componentes do vSphere Virtual Machine Encryption 194 Fluxo do processo de criptografia 197 Criptografia de disco virtual 200 Erros de criptografia da máquina virtual 202 Pré-requisitos e privilégios necessários para tarefas de criptografia 203 Criptografado vSphere vMotion 205 Práticas recomendadas de criptografia, advertências e interoperabilidade 208 Práticas recomendadas de criptografia de máquina virtual 208 Advertências de criptografia de máquina virtual 211 Interoperabilidade de criptografia de máquina virtual 213 Visão geral da persistência da chave 214 7 Configurando e gerenciando um provedor de chave padrão 216 Visão geral do provedor de chave padrão 216 Configurar o provedor de chave padrão 217 Adicionar um provedor de chave padrão usando o vSphere Client 217 Segurança do vSphere VMware, Inc. Traduzido automaticamente 7 Estabelecer uma conexão confiável do provedor de chave padrão por meio da troca de certificados 219 Use a opção de certificado de autoridade de certificação raiz para estabelecer uma conexão confiável do provedor de chave padrão 220 Use a opção de certificado para estabelecer uma conexão confiável do provedor de chave padrão 221 Use a opção Carregar certificado e chave privada para estabelecer uma conexão confiável do provedor de chave padrão 222 Use a opção de solicitação de assinatura de novo certificado para estabelecer uma conexão confiável do provedor de chave padrão 222 Definir o provedor de chave padrão 223 Concluir a configuração de confiança para um provedor de chave padrão 224 Configurar provedores de chaves separados para usuários diferentes 225 8 Configurando e gerenciando o vSphere Native Key Provider 226 Visão geral do provedor de chave nativa do vSphere 226 Fluxos de processo do provedor de chave nativa do vSphere 229 Configurar um vSphere Native Key Provider 230 Fazer backup de um provedor de chaves nativas do vSphere 231 Recuperando um Provedor de Chave Nativa do vSphere 233 Restaurar um provedor de chave nativa do vSphere usando o vSphere Client 233 Atualizar um provedor de chave nativa do vSphere 234 Excluir um provedor de chave nativa do vSphere 235 9 vSphere Trust Authority 236 vSphere Trust Authority Conceitos e recursos 236 Como o vSphere Trust Authority protege seu ambiente 236 Visão geral da infraestrutura confiável 240 vSphere Trust Authority Fluxos de processo 243 vSphere Trust Authority Topologia 247 Pré-requisitos e privilégios necessários para vSphere Trust Authority 247 vSphere Trust Authority Práticas recomendadas, advertências e interoperabilidade 250 Ciclo de vida do vSphere Trust Authority 252 Configurando o vSphere Trust Authority 253 Configure sua estação de trabalho 256 Habilitar o administrador do Trust Authority 256 Habilitar o estado da autoridade de confiança 257 Colete informações sobre ESXi hosts e vCenter Server para ser confiável 259 Exportar e importar um certificado de chave de endosso do TPM 264 Importar as informações do host confiável para o cluster do Trust Authority 269 Criar o provedor de chave no cluster do Trust Authority 272 Carregar o certificado do cliente para estabelecer uma conexão confiável do provedor de chave 278 Segurança do vSphere VMware, Inc. Traduzido automaticamente 8 Carregar o certificado e a chave privada para estabelecer uma conexão confiável de provedor de chave 280 Criar uma solicitação de assinatura de certificado para estabelecer uma conexão confiável de provedor de chave 282 Exportar as informações do cluster do Trust Authority 284 Importar as informações do cluster do Trust Authority para os hosts confiáveis 285 Configurar o provedor de chave confiável para hosts confiáveis usando o vSphere Client 290 Configurar o provedor de chaves confiáveis para hosts confiáveis usando a linha de comando 291 Gerenciando vSphere Trust Authority em seu ambiente vSphere 292 Iniciar, parar e reiniciar os serviços do vSphere Trust Authority 293 Exibir os hosts de autoridade de confiança 293 Exibir o estado do cluster do vSphere Trust Authority 293 Reiniciar o serviço de host confiável 294 Adicionando e removendo vSphere Trust Authority hosts 294 Adicionar um host a um cluster confiável com o vSphere Client 294 Adicionar um host a um cluster confiável com a CLI 295 Desativar hosts confiáveis de um cluster confiável 296 Fazendo backup da configuração do vSphere Trust Authority 298 Alterar a chave primária de um provedor de chave 299 Visão geral dos relatórios de atestado de host confiável 300 Exibir o status do atestado de cluster confiável 301 Solucionar problemas de atestado de host confiável 302 Verificando e corrigindo a integridade do cluster confiável 303 Visão geral da integridade e da correção do cluster confiável 303 Verificar a integridade do cluster confiável 304 Corrigir um cluster confiável 305 10 Use criptografia em seu ambiente vSphere 307 Criar uma política de armazenamento de criptografia 307 Habilitar o modo de criptografia do host explicitamente 308 Desativar o modo de criptografia do host 309 Criar uma máquina virtual criptografada 309 Clonar uma máquina virtual criptografada 311 Criptografar uma máquina virtual ou um disco virtual existente 312 Descriptografar uma máquina virtualou um disco virtual criptografado 314 Alterar a política de criptografia para discos virtuais 315 Resolver problemas de chave ausentes 316 Desbloquear máquinas virtuais bloqueadas 318 Resolver ESXi problemas no modo de criptografia do host 319 Reativar o modo de criptografia do ESXi host 319 Definir limite de expiração de certificado do servidor de gerenciamento de chaves 320 Segurança do vSphere VMware, Inc. Traduzido automaticamente 9 vSphere Virtual Machine Encryption and Core Dumps 321 Colete um pacote vm-support para um ESXi host que usa criptografia 322 Descriptografar ou criptografar novamente um despejo de núcleo criptografado 324 Ativar e desativar a persistência de chave em um host ESXi 325 11 Protegendo máquinas virtuais com o módulo de plataforma confiável virtual 327 Visão geral do Virtual Trusted Platform Module 327 Criar uma máquina virtual com um módulo de plataforma confiável virtual 329 Habilitar o Virtual Trusted Platform Module para uma máquina virtual existente 330 Remover o módulo de plataforma confiável virtual de uma máquina virtual 331 Identificar máquinas virtuais ativadas pelo Virtual Trusted Platform Module 332 Exibir certificados de dispositivo do Virtual Trusted Platform Module 333 Exportar e substituir certificados de dispositivo do Virtual Trusted Platform Module 333 12 Protegendo sistemas operacionais convidados do Windows com segurança baseada em virtualização 335 Práticas recomendadas de segurança baseadas em virtualização 336 Ativar segurança baseada em virtualização em uma máquina virtual 337 Ativar segurança baseada em virtualização em uma máquina virtual existente 338 Habilitar a segurança baseada em virtualização no sistema operacional convidado 340 Desativar segurança baseada em virtualização 340 Identificar máquinas virtuais habilitadas para VBS 341 13 Protegendo o vSphere Networking 342 Introdução ao vSphere Network Security 342 Protegendo a rede com firewalls 344 Firewalls para configurações com o vCenter Server 345 Conectando-se a vCenter Server por meio de um firewall 345 Conexão de hosts ESXi por meio de firewalls 346 Firewalls para configurações sem vCenter Server 346 Conectando-se ao console da máquina virtual por meio de um firewall 346 Proteja o switch físico 347 Protegendo portas de switch padrão com políticas de segurança 348 Protegendo vSphere Standard switches 349 Alterações de endereço MAC 350 Transmissões forjadas 350 Operação em modo promíscuo 351 Proteção de switch padrão e VLANs 351 Secure vSphere Distributed Switches e Distributed Port Groups 353 Protegendo máquinas virtuais com VLANs 354 Considerações de segurança para VLANs 355 VLANs seguras 356 Segurança do vSphere VMware, Inc. Traduzido automaticamente 10 Criando várias redes em um único ESXi host 356 Segurança de protocolo de internet 359 Listar associações de segurança disponíveis 359 Adicionar uma associação de segurança IPsec 359 Remover uma associação de segurança IPsec 361 Listar políticas de segurança IPsec disponíveis 361 Criar uma política de segurança IPSec 361 Remover uma política de segurança IPsec 362 Garanta a configuração adequada do SNMP 363 Práticas recomendadas de segurança de rede do vSphere 363 Recomendações gerais de segurança de rede 364 Rotulando componentes de rede 365 Documentar e verificar o ambiente de VLAN do vSphere 366 Adotando práticas de isolamento de rede 366 Use switches virtuais com o vSphere Network Appliance API somente se necessário 368 14 Práticas recomendadas que envolvem vários componentes do vSphere 370 Sincronizando relógios na rede vSphere 370 Sincronizar relógios ESXi com um servidor de horário de rede 371 Definindo as configurações de sincronização de horário em vCenter Server 372 Use VMware Ferramentas de Sincronização de Horário 372 Adicionar ou substituir servidores NTP na configuração do vCenter Server 373 Sincronizar a hora em vCenter Server com um servidor NTP 374 Práticas recomendadas de segurança de armazenamento 374 Protegendo o armazenamento iSCSI 375 Protegendo dispositivos iSCSI 375 Protegendo uma SAN iSCSI 375 Mascaramento e zoneamento de recursos SAN 376 Usando o Kerberos para NFS 4.1 377 Verifique se o envio de dados de desempenho do host para convidados está desativado 378 Definindo tempos limite para o ESXi Shell e o vSphere Client 379 15 Gerenciando a configuração do protocolo TLS com o utilitário TLS Configurator 381 Portas que suportam a desativação de versões TLS 381 Ativando ou desativando versões TLS no vSphere 382 Realizar um backup manual opcional 383 Ativar ou desativar versões TLS em vCenter Server sistemas 384 Ativar ou desativar versões TLS em ESXi hosts 384 Verifica vCenter Server em busca de protocolos TLS ativados 386 Reverter alterações de configuração do TLS 386 Segurança do vSphere VMware, Inc. Traduzido automaticamente 11 16 Privilégios definidos 388 Privilégios de alarmes 390 Implantação automática e privilégios de perfil de imagem 391 Privilégios de certificados 392 Privilégios de autoridade de certificação 392 Privilégios de gerenciamento de certificado 392 Privilégios Cns 393 Privilégios da biblioteca de conteúdo 393 Privilégios de operações criptográficas 396 Privilégios do grupo dvPort 398 Privilégios de switch distribuído 399 Privilégios do centro de dados 399 Privilégios do datastore 400 Privilégios de cluster do datastore 401 ESX Agent Manager Privilégios 402 Privilégios de extensão 402 Privilégios de provedor de estatísticas externas 403 Privilégios de pasta 403 Privilégios globais 403 Privilégios do provedor de atualização de integridade 405 Privilégios CIM do host 405 Privilégios de configuração do host 405 Inventário de hosts 406 Privilégios de operações locais do host 407 Privilégios de vSphere Replication host 408 Privilégios de perfil de host 408 vSphere with Tanzu Privileges 409 Privilégios de rede 409 Privilégios de desempenho 410 Privilégios de permissões 410 Privilégios de armazenamento orientados por perfil 411 Privilégios de recursos 411 Privilégios de tarefa agendada 412 Privilégios das sessões 413 Privilégios de visualizações de armazenamento 413 Privilégios de tarefas 414 Transferir privilégios de serviço 414 VcTrusts / VcIdentity Privileges 414 Privilégios de administrador de infraestrutura confiável 415 Privilégios do vApp 416 Privilégios de VcIdentityProviders 418 Segurança do vSphere VMware, Inc. Traduzido automaticamente 12 VMware vSphere Lifecycle Manager Privilégios de configuração 418 VMware vSphere Lifecycle Manager ESXi Privilégios de perspectiva de integridade 419 VMware vSphere Lifecycle Manager Privilégios gerais 419 VMware vSphere Lifecycle Manager Privilégios de compatibilidade de hardware 420 VMware vSphere Lifecycle Manager Privilégios de imagem 420 VMware vSphere Lifecycle Manager Privilégios de correção de imagem 421 VMware vSphere Lifecycle Manager Privilégios de configuração 422 VMware vSphere Lifecycle Manager Gerenciar privilégios de linha de base 422 VMware vSphere Lifecycle Manager Gerenciar Patches e Privilégios de Atualizações 423 VMware vSphere Lifecycle Manager Privilégios de arquivo de carregamento 424 Privilégios de configuração de máquina virtual 424 Privilégios de operações de convidado da máquina virtual 427 Privilégios de interação da máquina virtual 428 Privilégios de inventário de máquina virtual 431 Privilégios de provisionamento de máquina virtual 431 Privilégios de configuração do serviço de máquina virtual 433 Privilégios de gerenciamento de snapshot da máquina virtual 434 Privilégios de vSphere Replication máquina virtual 434 Privilégios de vServices 435 Privilégios de marcação do vSphere 435 vSphere Client Privilégios 436 17 Compreendendo o vSphere Hardening and Compliance 437 Segurança versus conformidade no ambiente vSphere 437 Understanding the vSphere Security Configuration Guide 440 Sobre o Instituto Nacional de Padrões e Tecnologia 443 Sobre DISA STIGs 443 Sobre o VMwareciclo de vida de desenvolvimento de segurança 444 Log de auditoria 444 Eventos de auditoria de logon único 445 Noções básicas sobre segurança e conformidade Próximas etapas 446 vCenter Server e FIPS 447 Módulos FIPS 447 Ativar e desativar FIPS no vCenter Server Appliance 448 Considerações ao usar FIPS 449 Segurança do vSphere VMware, Inc. Traduzido automaticamente 13 Sobre a segurança do vSphere O Segurança do vSphere fornece informações sobre como proteger seu ambiente do vSphere® para o VMware® vCenter® Server e o VMware ESXi. Em VMware, valorizamos a inclusão. Para promover esse princípio dentro de nossa comunidade de clientes, parceiros e interna, criamos conteúdo usando uma linguagem inclusiva. Para ajudá-lo a proteger seu ambiente do vSphere, esta documentação descreve os recursos de segurança disponíveis e as medidas que você pode tomar para proteger seu ambiente contra ataques. Tabela 1-1. Segurança do vSphere Destaques Tópicos Destaques do conteúdo Permissões e gerenciamento de usuários n Modelo de permissões (funções, grupos, objetos). n Criando funções personalizadas. n Configurando permissões. n Gerenciando permissões globais. Recursos de segurança do host n Modo de bloqueio e outros recursos de perfil de segurança. n Autenticação de cartão inteligente do host. n vSphere Authentication Proxy. n UEFI Secure Boot. n Trusted Platform Module (TPM). n VMware® vSphere Trust Authority™. n Configuração segura ESXi e selagem da configuração Criptografia da máquina virtual n VMware vSphere® Chave nativa Provider™. n Como funciona a criptografia da VM? n Configuração do KMS. n Criptografar e descriptografar VMs. n Solução de problemas e práticas recomendadas. Segurança do sistema operacional convidado n Virtual Trusted Platform Module (vTPM). n Virtualization Based Security (VBS). Gerenciando a configuração do protocolo TLS Alterar a configuração do protocolo TLS usando um utilitário de linha de comando. VMware, Inc. Traduzido automaticamente 14 Tabela 1-1. Segurança do vSphere Destaques (continuação) Tópicos Destaques do conteúdo Boas práticas de segurança e reforço Práticas recomendadas e conselhos de VMware especialistas em segurança. n Segurança do vCenter Server n Segurança do host n Segurança da máquina virtual n Segurança de rede Privilégios do vSphere Lista completa de todos os privilégios do vSphere com suporte nesta versão. Documentação relacionada Um documento complementar, Autenticação do vSphere , explica como você pode usar os serviços de autenticação, por exemplo, para gerenciar a autenticação com o vCenter Single Sign-On e para gerenciar certificados no seu ambiente do vSphere. Além desses documentos, VMware publica o vSphere Security Configuration Guide (anteriormente conhecido como o Hardening Guide ) para cada versão do vSphere, acessível em https://core.vmware.com/security. O vSphere Security Configuration Guide contém diretrizes sobre configurações de segurança que podem ou devem ser definidas pelo cliente, e configurações de segurança fornecidas por VMware que devem ser auditadas pelo cliente para garantir que elas ainda estejam definidas como padrão . O que aconteceu com o Platform Services Controller A partir do vSphere 7.0, a implantação de um novo vCenter Server ou a atualização para o vCenter Server 7.0 requer o uso do dispositivo do vCenter Server, uma máquina virtual pré-configurada otimizada para executar o vCenter Server. O novo vCenter Server contém todos os serviços do Platform Services Controller, preservando a funcionalidade e os fluxos de trabalho, incluindo autenticação, gerenciamento de certificados, tags e licenciamento. Não é mais necessário nem possível implantar e usar um Platform Services Controller externo. Todos os serviços do Platform Services Controller são consolidados em vCenter Server, e a implantação e a administração são simplificadas. Como esses serviços agora fazem parte de vCenter Server, eles não são mais descritos como parte de Platform Services Controller. No vSphere 7.0, a publicação Autenticação do vSphere substitui a publicação Administração do Platform Services Controller . A nova publicação contém informações completas sobre autenticação e gerenciamento de certificados. Para obter informações sobre como atualizar ou migrar de implantações do vSphere 6.5 e 6.7 usando um dispositivo externo existente do Platform Services Controller para o vSphere 7.0 usando o vCenter Server appliance, consulte a documentação do Upgrade do vSphere . Segurança do vSphere VMware, Inc. Traduzido automaticamente 15 https://core.vmware.com/security Público-alvo Essas informações são para administradores de sistema experientes que estão familiarizados com a tecnologia de máquina virtual e operações de centro de dados. Certificações VMware publica uma lista pública de VMware produtos que concluíram as certificações de Critérios Comuns. Para verificar se uma determinada versão do produto VMware foi certificada, consulte a página da Web de avaliação e validação de critérios comuns em https:// www.vmware.com/security/certifications/common-criteria.html. Segurança do vSphere VMware, Inc. Traduzido automaticamente 16 https://www.vmware.com/security/certifications/common-criteria.html https://www.vmware.com/security/certifications/common-criteria.html Segurança no ambiente vSphere 1 Os componentes de um ambiente vSphere são protegidos por vários recursos, como autenticação, autorização, um firewall em cada ESXi host e assim por diante. Você pode modificar a configuração padrão de várias maneiras. Por exemplo, você pode definir permissões em objetos do vCenter, abrir portas de firewall ou alterar os certificados padrão. Você pode tomar medidas de segurança para diferentes objetos na hierarquia de objetos do vCenter, por exemplo, vCenter Server sistemas, ESXi hosts, máquinas virtuais e objetos de rede e armazenamento. Uma visão geral de alto nível das diferentes áreas do vSphere que exigem atenção ajuda a planejar sua estratégia de segurança. Você também se beneficia de outros recursos de segurança do vSphere no site do VMware. Este capítulo inclui os seguintes tópicos: n Protegendo o ESXi hipervisor n Protegendo vCenter Server sistemas e serviços associados n Protegendo máquinas virtuais n Protegendo a camada de rede virtual n Senhas no seu ambiente vSphere n Melhores práticas e recursos de segurança Protegendo o ESXi hipervisor O hipervisor ESXi é protegido imediatamente. Você pode proteger ainda mais os hosts do ESXi usando o modo de bloqueio e outros recursos integrados. Para consistência, você pode configurar um host de referência e manter todos os hosts em sincronia com o perfil do host de referência. Você também pode proteger seu ambiente executando o gerenciamento com script, o que garante que as alterações sejam aplicadas a todos os hosts. Você pode melhorar a proteção de ESXi hosts gerenciados pelo vCenter Server com as seguintes ações. Consulte a Segurança do artigo técnico de VMware vSphere Hypervisor para obter informações sobre o histórico e os detalhes. Limitar o acesso a ESXi VMware, Inc. Traduzido automaticamente 17 Por padrão, os serviços ESXi Shell e SSH não estão em execução e apenas o usuário raiz pode fazer login na interface de usuário do console direto (DCUI). Se você decidir ativar o ESXi ou o acesso SSH, poderá definir tempos limite para limitar o risco de acesso não autorizado. Os usuários que podem acessar o host ESXi devem ter permissões para gerenciar o host. Você define permissões no objeto de host do sistema vCenter Server que gerencia o host. Usar usuários nomeados e privilégios mínimos Por padrão, o usuário raiz pode realizar muitas tarefas. Não permitir que os administradores façam login no host ESXi usando a conta de usuário raiz. Em vez disso, crie usuários administradores nomeados a partir de vCenter Server e atribua a esses usuários a função de Administrador. Você também pode atribuir a essesusuários uma função personalizada. Consulte Criar uma função personalizada do vCenter Server. Se você gerenciar usuários diretamente no host, as opções de gerenciamento de função serão limitadas. Consulte a documentação do vSphere Single Host Management - VMware Host Client . Minimize o número de portas de firewall ESXi abertas Por padrão, as portas de firewall no host ESXi são abertas apenas quando você inicia um serviço correspondente. Você pode usar os comandos vSphere Client ou ESXCLI ou PowerCLI para verificar e gerenciar o status da porta do firewall. Consulte ESXi Configuração de firewall. Automatizar o gerenciamento de ESXi host Como muitas vezes é importante que hosts diferentes no mesmo centro de dados estejam sincronizados, use a instalação com script ou o vSphere Auto Deploy para provisionar hosts. Você pode gerenciar os hosts usando scripts. Os perfis de host são uma alternativa ao gerenciamento com script. Você configura um host de referência, exporta o perfil do host e aplica o perfil do host a todos os hosts. Você pode aplicar o perfil do host diretamente ou como parte do provisionamento com o Auto Deploy. Consulte Usar scripts para gerenciar as definições de configuração do host e consulte a documentação do vCenter Server Instalação e configuração para obter informações sobre vSphere Auto Deploy. Aproveite o modo de bloqueio No modo de bloqueio, ESXi hosts podem ser acessados apenas por meio de vCenter Server por padrão. Você pode selecionar o modo de bloqueio estrito ou o modo de bloqueio normal. Você pode definir Usuários de exceção para permitir acesso direto a contas de serviço, como agentes de backup. Consulte Modo de bloqueio. Verifique a integridade do pacote VIB Segurança do vSphere VMware, Inc. Traduzido automaticamente 18 Cada pacote VIB tem um nível de aceitação associado. Você pode adicionar um VIB a um host ESXi somente se o nível de aceitação do VIB for o mesmo ou melhor do que o nível de aceitação do host. Não é possível adicionar um VIB com suporte da comunidade ou com suporte por parceiro a um host, a menos que você altere explicitamente o nível de aceitação do host. Consulte Gerenciar os níveis de aceitação de hosts e VIBs. Gerenciar ESXi certificados O VMware Certificate Authority (VMCA) provisiona cada host ESXi com um certificado assinado que tem o VMCA como a autoridade de certificação raiz por padrão. Se a política da sua empresa exigir, você poderá substituir os certificados existentes por certificados assinados por uma autoridade de certificação de terceiros ou corporativa. Consulte Gerenciamento de certificados para ESXi hosts. Considere a autenticação de cartão inteligente O ESXi oferece suporte ao uso de autenticação de cartão inteligente em vez de autenticação de nome de usuário e senha. Para segurança adicional, você pode configurar a autenticação de cartão inteligente. A autenticação de dois fatores também é compatível com vCenter Server. Você pode configurar a autenticação de nome de usuário e senha e a autenticação de cartão inteligente ao mesmo tempo. Consulte Configurando a autenticação de cartão inteligente para ESXi. Considere o bloqueio de conta de ESXi O bloqueio de conta tem suporte para acesso por meio de SSH e por meio do vSphere Web Services SDK. Por padrão, um máximo de 10 tentativas com falha é permitido antes que a conta seja bloqueada. A conta é desbloqueada após dois minutos por padrão. Observação O Direct Console Interface (DCUI) e o ESXi Shell não oferecem suporte ao bloqueio de conta. Consulte ESXi Senhas e bloqueio de conta. As considerações de segurança para hosts autônomos são semelhantes, embora as tarefas de gerenciamento possam ser diferentes. Consulte a documentação do vSphere Single Host Management - VMware Host Client . Protegendo vCenter Server sistemas e serviços associados Seu sistema do vCenter Server e os serviços associados são protegidos por autenticação por meio de vCenter Single Sign-On e por autorização por meio do modelo de permissões vCenter Server. Você pode modificar o comportamento padrão e tomar medidas para limitar o acesso ao seu ambiente. Segurança do vSphere VMware, Inc. Traduzido automaticamente 19 Ao proteger seu ambiente do vSphere, considere que todos os serviços associados às instâncias do vCenter Server devem ser protegidos. Em alguns ambientes, você pode proteger várias instâncias de vCenter Server. Reforçar todas as máquinas host do vCenter A primeira etapa na proteção do ambiente do vCenter é proteger cada máquina na qual o vCenter Server ou um serviço associado é executado. Considerações semelhantes se aplicam a uma máquina física ou virtual. Sempre instale os patches de segurança mais recentes para o seu sistema operacional e siga as práticas recomendadas padrão da indústria para proteger a máquina host. Saiba mais sobre o modelo de certificado do vCenter Por padrão, o VMware Certificate Authority provisiona cada host ESXi e cada máquina no ambiente com um certificado assinado pelo VMCA. Se a política da sua empresa exigir, você poderá alterar o comportamento padrão. Consulte a documentação do Autenticação do vSphere para obter detalhes. Para proteção adicional, remova explicitamente certificados expirados ou revogados e instalações com falha. Configurar o vCenter Single Sign-On vCenter Server e os serviços associados são protegidos pela estrutura de autenticação do vCenter Single Sign-On. Ao instalar o software pela primeira vez, você especifica uma senha para o administrador do domínio vCenter Single Sign-On, administrator@vsphere.local por padrão. Somente esse domínio está inicialmente disponível como uma fonte de identidade. Você pode adicionar um provedor de identidade externo, como o Microsoft Active Directory Federation Services (AD FS), para autenticação federada. Você pode adicionar outras fontes de identidade, Active Directory ou LDAP, e definir uma fonte de identidade padrão. Os usuários que podem se autenticar em uma dessas origens de identidade podem exibir objetos e executar tarefas se estiverem autorizados a fazê-lo. Consulte a documentação do Autenticação do vSphere para obter detalhes. Atribuir funções a usuários ou grupos nomeados Para obter um melhor registro em log, associe cada permissão que você concede a um objeto com um usuário ou grupo nomeado e uma função predefinida ou personalizada. O modelo de permissões do vSphere permite grande flexibilidade por meio de várias maneiras de autorizar usuários ou grupos. Consulte Entendendo a autorização no vSphere e Privilégios necessários para tarefas comuns. Restrinja os privilégios de administrador e o uso da função de administrador. Se possível, não use o usuário administrador anônimo. Configurar PTP ou NTP Segurança do vSphere VMware, Inc. Traduzido automaticamente 20 Configure o PTP ou NTP para cada nó em seu ambiente. A infraestrutura de certificado requer um carimbo de data / hora preciso e não funciona corretamente se os nós estiverem fora de sincronia. Consulte Sincronizando relógios na rede vSphere. Protegendo máquinas virtuais Para proteger suas máquinas virtuais, mantenha os sistemas operacionais convidados com patches e proteja seu ambiente da mesma forma que você protege sua máquina física. Considere desativar funcionalidades desnecessárias, minimizar o uso do console da máquina virtual e seguir outras práticas recomendadas. Proteger o sistema operacional convidado Para proteger seu sistema operacional convidado, certifique-se de que ele use os patches mais recentes e, se apropriado, os aplicativos anti-spyware e anti-malware. Consulte a documentação do fornecedor do sistema operacional convidado e, potencialmente, outras informações disponíveis em livros ou na Internet para esse sistema operacional. Desativar funcionalidade desnecessária Verifique se a funcionalidade desnecessária está desativada para minimizar os pontos de ataque em potencial. Muitos dos recursos que são usados com poucafrequência são desativados por padrão. Remova o hardware desnecessário e desative determinados recursos, como o sistema de arquivos host-guest (HGFS) ou copie e cole entre a máquina virtual e um console remoto. Consulte Desativar funções desnecessárias dentro de máquinas virtuais. Usar modelos e gerenciamento de scripts Os modelos de máquina virtual permitem que você configure o sistema operacional para que ele atenda aos seus requisitos e crie outras VMs com as mesmas configurações. Se você quiser alterar as configurações da máquina virtual após a implantação inicial, considere o uso de scripts, por exemplo, PowerCLI. Esta documentação explica como realizar tarefas usando a GUI. Considere o uso de scripts em vez da GUI para manter seu ambiente consistente. Em ambientes grandes, você pode agrupar máquinas virtuais em pastas para otimizar os scripts. Para obter informações sobre modelos, consulte Usar modelos para implantar máquinas virtuais e a documentação do Administração da máquina virtual do vSphere . Para obter informações sobre PowerCLI, consulte a documentação do VMware PowerCLI. Minimize o uso do console da máquina virtual Segurança do vSphere VMware, Inc. Traduzido automaticamente 21 O console da máquina virtual fornece a mesma função para uma máquina virtual que um monitor em um servidor físico fornece. Os usuários com acesso a um console de máquina virtual têm acesso ao gerenciamento de energia da máquina virtual e aos controles de conectividade do dispositivo removível. Como resultado, o acesso ao console da máquina virtual pode permitir um ataque mal-intencionado em uma máquina virtual. Considere a inicialização segura da UEFI Você pode configurar sua máquina virtual para usar a inicialização UEFI. Se o sistema operacional oferecer suporte à inicialização segura da UEFI, você poderá selecionar essa opção para suas VMs para segurança adicional. Consulte Ativar ou desativar a inicialização segura do UEFI para uma máquina virtual. Considere a Carbon carga de trabalho da nuvem negra Você pode instalar e usar o Carbon Black Cloud Workload para identificar riscos, evitar ataques e detectar atividades incomuns. Com a funcionalidade AppDefense integrada à plataforma Carbon Black Cloud, a Carbon Black Cloud Workload é o produto sucessor do AppDefense. Protegendo a camada de rede virtual A camada de rede virtual inclui adaptadores de rede virtual, switches virtuais, switches virtuais distribuídos e portas e grupos de portas. O ESXi depende da camada de rede virtual para oferecer suporte à comunicação entre as VMs e seus usuários. Além disso, o ESXi usa a camada de rede virtual para se comunicar com SANs iSCSI, armazenamento NAS e assim por diante. O vSphere inclui a matriz completa de recursos necessários para uma infraestrutura de rede segura. Você pode proteger cada elemento da infraestrutura, como switches virtuais, switches virtuais distribuídos e adaptadores de rede virtual, separadamente. Além disso, considere as seguintes diretrizes, discutidas em mais detalhes em Capítulo 13 Protegendo o vSphere Networking. Isolar o tráfego de rede O isolamento do tráfego de rede é essencial para um ambiente ESXi seguro. Redes diferentes exigem acesso e nível de isolamento diferentes. Uma rede de gerenciamento isola o tráfego de cliente, a interface de linha de comando (CLI) ou o tráfego de API e o tráfego de software de terceiros do tráfego normal. Certifique-se de que a rede de gerenciamento seja acessível apenas por administradores de sistema, rede e segurança. Consulte ESXi Recomendações de segurança de rede. Use firewalls para proteger elementos de rede virtual Você pode abrir e fechar portas de firewall e proteger cada elemento na rede virtual separadamente. Para hosts ESXi, as regras de firewall associam serviços aos firewalls correspondentes e podem abrir e fechar o firewall de acordo com o status do serviço. Você também pode abrir portas em instâncias de vCenter Server explicitamente. Segurança do vSphere VMware, Inc. Traduzido automaticamente 22 Para obter a lista de todas as portas e protocolos compatíveis em VMware produtos, incluindo vSphere e vSAN, consulte o VMware Ports and Protocols Tool™ em https:// ports.vmware.com/. Você pode pesquisar portas por VMware produto, criar uma lista personalizada de portas e imprimir ou salvar listas de portas. Considere as políticas de segurança de rede As políticas de segurança de rede fornecem proteção de tráfego contra a representação de endereço MAC e a verificação de porta indesejada. A política de segurança de um switch padrão ou distribuído é implementada na Camada 2 (Camada de Link de Dados) da pilha de protocolos de rede. Os três elementos da política de segurança são o modo promíscuo, as alterações de endereço MAC e as transmissões forjadas. Consulte a documentação do Rede do vSphere para obter instruções. Rede de VM segura Os métodos que você usa para proteger a rede da VM dependem de vários fatores, incluindo: n O sistema operacional convidado que está instalado n Se as VMs operam em um ambiente confiável Os switches virtuais e os switches virtuais distribuídos fornecem proteção significativa quando usados com outras práticas de segurança comuns, como a instalação de firewalls. Consulte Capítulo 13 Protegendo o vSphere Networking. Considere VLANs para proteger seu ambiente O ESXi é compatível com VLANs IEEE 802.1q. As VLANs permitem que você segmente uma rede física. Você pode usar VLANs para proteger ainda mais a rede da VM ou a configuração de armazenamento. Quando você usa VLANs, duas VMs na mesma rede física não podem enviar ou receber pacotes uma da outra, a menos que estejam na mesma VLAN. Consulte Protegendo máquinas virtuais com VLANs. Conexões seguras com o armazenamento virtualizado Uma VM armazena arquivos do sistema operacional, arquivos de aplicativos e outros dados em um disco virtual. Cada disco virtual aparece para a VM como uma unidade SCSI que está conectada a um controlador SCSI. Uma VM é isolada dos detalhes de armazenamento e não pode acessar as informações sobre o LUN em que seu disco virtual reside. O Virtual Machine File System (VMFS) é um sistema de arquivos distribuído e gerenciador de volume que apresenta volumes virtuais ao host ESXi. Você é responsável por proteger a conexão com o armazenamento. Por exemplo, se você estiver usando o armazenamento iSCSI, poderá configurar seu ambiente para usar o CHAP. Se exigido pela política da empresa, você pode configurar o CHAP mútuo. Use o vSphere Client ou CLIs para configurar o CHAP. Segurança do vSphere VMware, Inc. Traduzido automaticamente 23 https://ports.vmware.com/ https://ports.vmware.com/ Consulte Práticas recomendadas de segurança de armazenamento. Avalie o uso do IPSec O ESXi oferece suporte a IPSec sobre IPv6. Não é possível usar IPSec sobre IPv4. Consulte Segurança de protocolo de internet. Além disso, avalie se VMware NSX for vSphere é uma boa solução para proteger a camada de rede em seu ambiente. Senhas no seu ambiente vSphere Restrições de senha, expiração de senha e bloqueio de conta no seu ambiente do vSphere dependem do sistema que o usuário se destina, quem é o usuário e como as políticas são definidas. ESXi Senhas As restrições de senha de ESXi são determinadas por certos requisitos. Consulte ESXi Senhas e bloqueio de conta. Senhas para vCenter Server e outros serviços do vCenter O vCenter Single Sign-On gerencia a autenticação para todos os usuários que fazem login no vCenter Server e em outros serviços do vCenter. As restrições de senha, expiração de senha e bloqueio de conta dependem do domínio do usuário e de quem o usuário é. Administrador do vCenter Single Sign-On A senha para o usuário administrator@vsphere.local ou o usuário administrator @ mydomain se você tiver selecionado um domínio diferente durante a instalação, não expira e não está sujeita à política de bloqueio. Em todos os outros aspectos, a senha deve seguir as restriçõesdefinidas na política de senha do vCenter Single Sign-On. Consulte Autenticação do vSphere para obter mais detalhes. Se você esquecer a senha deste usuário, pesquise o sistema da Base de Dados de Conhecimento do VMware para obter informações sobre como redefinir essa senha. A redefinição requer privilégios adicionais, como acesso raiz ao sistema vCenter Server. Outros usuários do domínio vCenter Single Sign-On As senhas para outros usuários vsphere.local, ou usuários do domínio que você especificou durante a instalação, devem seguir as restrições definidas pela política de senha e de bloqueio do vCenter Single Sign-On. Consulte Autenticação do vSphere para obter mais detalhes. Essas senhas expiram após 90 dias por padrão. Os administradores podem alterar a expiração como parte da política de senha. Segurança do vSphere VMware, Inc. Traduzido automaticamente 24 Se você esquecer a senha do vsphere.local, um usuário administrador poderá redefinir a senha usando o comando dir-cli. Outros usuários Restrições de senha, expiração de senha e bloqueio de conta para todos os outros usuários são determinados pelo domínio (origem da identidade) no qual o usuário pode se autenticar. vCenter Single Sign-On oferece suporte a uma fonte de identidade padrão. Os usuários podem fazer login no domínio correspondente com o vSphere Client com seus nomes de usuário. Se os usuários quiserem fazer login em um domínio não padrão, eles poderão incluir o nome do domínio, ou seja, especificar usuário @ domínio ou domínio \\} usuário . Os parâmetros de senha de domínio se aplicam a cada domínio. Senhas para vCenter Server usuários da interface de usuário do console direto O appliance do vCenter Server é uma máquina virtual pré-configurada otimizada para executar o vCenter Server e os serviços associados. Ao implantar o vCenter Server, você especifica essas senhas. n Senha para o usuário raiz n Senha para o administrador do domínio vCenter Single Sign-On, administrator@vsphere.local por padrão. Você pode alterar a senha do usuário raiz e realizar outras vCenter Server tarefas de gerenciamento de usuário local na interface de gerenciamento do vCenter Server. Consulte o vCenter Server Configuração . Melhores práticas e recursos de segurança Se você seguir as práticas recomendadas, seu ESXi e vCenter Server podem ser tão seguros quanto ou até mais seguros do que um ambiente que não inclui a virtualização. Este manual inclui práticas recomendadas para os diferentes componentes da sua infraestrutura do vSphere. Tabela 1-1. Práticas recomendadas de segurança Componente vSphere Recurso ESXi host Capítulo 3 Protegendo ESXi hosts vCenter Server sistema vCenter Server Práticas recomendadas de segurança Máquina virtual Práticas recomendadas de segurança de máquina virtual Rede do vSphere Práticas recomendadas de segurança de rede do vSphere Este manual é apenas uma das fontes que você deve usar para garantir um ambiente seguro. Segurança do vSphere VMware, Inc. Traduzido automaticamente 25 VMware recursos de segurança, incluindo alertas de segurança e downloads, estão disponíveis na web. Tabela 1-2. VMware Recursos de segurança na web Tópico Recurso Informações sobre ESXi e vCenter Server segurança e operações, incluindo configuração segura e segurança de hipervisor. https://core.vmware.com/security VMware política de segurança, alertas de segurança atualizados, downloads de segurança e discussões de foco de tópicos de segurança. http://www.vmware.com/go/security Política de resposta de segurança corporativa http://www.vmware.com/support/policies/security_response.html VMware está empenhada em ajudá-lo a manter um ambiente seguro. Os problemas de segurança são corrigidos em tempo hábil. A VMware Política de Resposta de Segurança declara nosso compromisso em resolver possíveis vulnerabilidades em nossos produtos. Política de suporte a software de terceiros http://www.vmware.com/support/policies/ O VMware oferece suporte a uma variedade de sistemas de armazenamento, agentes de software, como agentes de backup, agentes de gerenciamento de sistema e assim por diante. Você pode encontrar listas de agentes, ferramentas e outros softwares que ofereçam suporte a ESXi pesquisando http://www.vmware.com/ vmtn/resources/ ESXi guias de compatibilidade. A indústria oferece mais produtos e configurações do que a VMware pode testar. Se VMware não listar um produto ou configuração em um guia de compatibilidade, o suporte técnico tentará ajudá-lo com qualquer problema, mas não poderá garantir que o produto ou a configuração possa ser usado. Sempre avalie os riscos de segurança para produtos ou configurações sem suporte com cuidado. Padrões de conformidade e segurança, soluções de parceiros e conteúdo detalhado sobre virtualização e conformidade https://core.vmware.com/compliance Informações sobre certificações e validações de segurança, como CCEVS e FIPS, para diferentes versões dos componentes do vSphere. https://www.vmware.com/support/support-resources/ certifications.html Guias de configuração de segurança (anteriormente conhecidos como guias de reforço) para diferentes versões do vSphere e outros VMware produtos. https://core.vmware.com/security Segurança do artigo técnico de VMware vSphere Hypervisor http://www.vmware.com/files/pdf/techpaper/vmw-wp-secrty-vsphr- hyprvsr-uslet-101.pdf Segurança do vSphere VMware, Inc. Traduzido automaticamente 26 https://core.vmware.com/security http://www.vmware.com/go/security http://www.vmware.com/support/policies/security_response.html http://www.vmware.com/support/policies/ http://www.vmware.com/vmtn/resources/ http://www.vmware.com/vmtn/resources/ https://core.vmware.com/compliance https://www.vmware.com/support/support-resources/certifications.html https://www.vmware.com/support/support-resources/certifications.html https://core.vmware.com/security http://www.vmware.com/files/pdf/techpaper/vmw-wp-secrty-vsphr-hyprvsr-uslet-101.pdf http://www.vmware.com/files/pdf/techpaper/vmw-wp-secrty-vsphr-hyprvsr-uslet-101.pdf Permissões do vSphere e tarefas de gerenciamento de usuários 2 A autenticação e a autorização governam o acesso. O vCenter Single Sign-On oferece suporte à autenticação, o que significa que determina se um usuário pode fazer login nos componentes do vSphere. Cada usuário também deve ter autorização para visualizar ou manipular objetos do vSphere. O vSphere oferece suporte a vários mecanismos de autorização diferentes, discutidos em Entendendo a autorização no vSphere. Esta seção se concentra em como o modelo de permissão do vCenter Server funciona e como realizar tarefas de gerenciamento de usuários. O vCenter Server permite um controle refinado sobre a autorização com permissões e funções. Ao atribuir uma permissão a um objeto na hierarquia de objetos vCenter Server, você especifica qual usuário ou grupo tem quais privilégios nesse objeto. Para especificar os privilégios, use funções, que são conjuntos de privilégios. Inicialmente, apenas o usuário administrador do domínio vCenter Single Sign-On está autorizado a fazer login no sistema do vCenter Server. O domínio padrão é vsphere.local e o administrador padrão é administrator@vsphere.local. Você pode alterar o domínio padrão durante a instalação do vSphere. O usuário administrador pode proceder da seguinte maneira: 1 Adicione uma origem de identidade na qual os usuários e grupos são definidos para vCenter Single Sign-On. Consulte a documentação do Autenticação do vSphere . 2 Conceda privilégios a um usuário ou grupo selecionando um objeto, como uma máquina virtual ou um sistema do vCenter Server, e atribuindo uma função nesse objeto para o usuário ou grupo. Atribuição de funções e permissões usando o vSphere Client (http://link.brightcove.com/services/player/bcpid2296383276001? bctid=ref:video_vsphere7_roles) Este capítulo inclui os seguintes tópicos: n Entendendo a autorização no vSphere n Gerenciando permissões paracomponentes do vCenter n Permissões globais n Usando funções para atribuir privilégios VMware, Inc. Traduzido automaticamente 27 http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_vsphere7_roles http://link.brightcove.com/services/player/bcpid2296383276001?bctid=ref:video_vsphere7_roles n Práticas recomendadas para funções e permissões n Privilégios necessários para tarefas comuns Entendendo a autorização no vSphere O vSphere oferece suporte a vários modelos para determinar se um usuário tem permissão para realizar uma tarefa. A associação de grupo em um grupo do vCenter Single Sign-On decide o que você tem permissão para fazer. Sua função em um objeto ou sua permissão global determina se você tem permissão para realizar outras tarefas. Visão geral da autorização O vSphere permite que usuários com privilégios concedam a outros usuários permissões para realizar tarefas. Você pode usar permissões globais ou pode usar permissões locais do vCenter Server para autorizar outros usuários para instâncias individuais do vCenter Server. A figura a seguir ilustra como as permissões globais e locais funcionam. Figura 2-1. Permissões globais e permissões locais Global Permission Root Object vCenter Server 1 Root Folder vCenter Server 2 Root Folder 1 2 3 Nesta figura: 1 Você atribui uma permissão global no nível do objeto raiz com "Propagar para filhos" selecionado. 2 vCenter Server propaga as permissões para as hierarquias de objeto vCenter Server 1 e vCenter Server 2 no ambiente. 3 Uma permissão local na pasta raiz em vCenter Server 2 substitui a permissão global. Permissões de vCenter Server O modelo de permissão para sistemas vCenter Server depende da atribuição de permissões a objetos na hierarquia de objetos. Os usuários obtêm permissões das seguintes maneiras. n De uma permissão específica para o usuário ou dos grupos dos quais o usuário é membro n De uma permissão no objeto ou por meio da herança de permissão de um objeto pai Segurança do vSphere VMware, Inc. Traduzido automaticamente 28 Cada permissão concede a um usuário ou grupo um conjunto de privilégios, ou seja, uma função para um objeto selecionado. Você pode usar o vSphere Client para adicionar permissões. Por exemplo, você pode clicar com o botão direito do mouse em uma máquina virtual, selecionar Adicionar permissão (Add Permission) e preencher a caixa de diálogo para atribuir uma função a um grupo de usuários. Essa função concede a esses usuários os privilégios correspondentes na máquina virtual. Figura 2-2. Adicionando permissões a uma máquina virtual usando o vSphere Client Permissões globais As permissões globais dão a um usuário ou grupo privilégios para exibir ou gerenciar todos os objetos em cada uma das hierarquias de inventário das soluções na implantação. Ou seja, as permissões globais são aplicadas a um objeto raiz global que abrange hierarquias de inventário de solução. (As soluções incluem vCenter Server, vRealize Orchestrator e assim por diante.) Permissões globais também se aplicam a objetos globais, como tags e bibliotecas de conteúdo. Por exemplo, considere uma implantação que consiste em duas soluções, vCenter Server e vRealize Orchestrator. Você pode usar permissões globais para atribuir uma função a um grupo de usuários que tenha privilégios somente leitura para todos os objetos nas hierarquias de objeto vCenter Server e vRealize Orchestrator. As permissões globais são replicadas no domínio vCenter Single Sign-On (vsphere.local por padrão). As permissões globais não fornecem autorização para serviços gerenciados por meio dos grupos de domínio do vCenter Single Sign-On. Consulte Permissões globais. Associação de grupo em vCenter Single Sign-On grupos Os membros de um grupo de domínio vCenter Single Sign-On podem realizar determinadas tarefas. Por exemplo, você pode executar o gerenciamento de licenças se for um membro do grupo LicenseService.Administrators. Consulte a documentação do Autenticação do vSphere . ESXi Permissões de host local Segurança do vSphere VMware, Inc. Traduzido automaticamente 29 Se você estiver gerenciando um host ESXi autônomo que não é gerenciado por um sistema do vCenter Server, poderá atribuir uma das funções predefinidas aos usuários. Consulte a documentação do vSphere Single Host Management - VMware Host Client . Para hosts gerenciados, atribua funções ao objeto de host ESXi no inventário do vCenter Server. Compreendendo o modelo de permissão de nível de objeto Você autoriza um usuário ou grupo a realizar tarefas em objetos vCenter Server usando permissões no objeto. Do ponto de vista programático, quando um usuário tenta realizar uma operação, um método de API é executado. vCenter Server verifica as permissões para esse método para ver se o usuário está autorizado a realizar a operação. Por exemplo, quando um usuário tenta adicionar um host, o método AddStandaloneHost_Task(addStandaloneHost) é chamado. Este método requer que a função para o usuário tenha o privilégio Host . Inventário . Adicionar host autônomo . Se a verificação não encontrar esse privilégio, o usuário terá a permissão negada para adicionar o host. Os seguintes conceitos são importantes. Permissões Cada objeto na hierarquia de objetos vCenter Server tem permissões associadas. Cada permissão especifica para um grupo ou usuário quais privilégios esse grupo ou usuário tem no objeto. As permissões podem se propagar para objetos herdeiros. Usuários e Grupos Em sistemas do vCenter Server, você pode atribuir privilégios apenas a usuários autenticados ou grupos de usuários autenticados. Os usuários são autenticados por meio do vCenter Single Sign-On. Os usuários e os grupos devem ser definidos na origem da identidade que o vCenter Single Sign-On usa para autenticar. Defina usuários e grupos usando as ferramentas na sua origem de identidade, por exemplo, Active Directory. Privilégios Privilégios são controles de acesso refinados. Você pode agrupar esses privilégios em funções, que podem ser mapeadas para usuários ou grupos. Funções As funções são conjuntos de privilégios. As funções permitem que você atribua permissões em um objeto com base em um conjunto típico de tarefas que os usuários executam. As funções do sistema, como Administrador, são predefinidas em vCenter Server e não podem ser alteradas. O vCenter Server também fornece algumas funções de amostra padrão, como Administrador do Pool de Recursos, que você pode modificar. Você pode criar funções personalizadas do zero ou clonando e modificando funções de amostra. Consulte Criar uma função personalizada do vCenter Server. Segurança do vSphere VMware, Inc. Traduzido automaticamente 30 A figura a seguir ilustra como uma permissão é construída a partir de privilégios e funções e atribuída a um usuário ou grupo para um objeto do vSphere. Figura 2-3. Permissões do vSphere Permission vSphere object User or group Role Privilege Privilege Privilege Privilege Para atribuir permissões a um objeto, siga estas etapas: 1 Selecione o objeto ao qual você deseja aplicar a permissão na hierarquia de objetos vCenter Server. 2 Selecione o grupo ou usuário que deve ter privilégios no objeto. 3 Selecione privilégios individuais ou uma função, que é um conjunto de privilégios, que o grupo ou usuário deve ter no objeto. Por padrão, a opção Propagar para filhos não está selecionada. Você deve marcar a caixa de seleção para que o grupo ou usuário tenha a função selecionada no objeto selecionado e seus objetos herdeiros. O vCenter Server oferece funções de amostra, que combinam conjuntos de privilégios usados com frequência. Você também pode criar funções personalizadas combinando um conjunto de funções. As permissões geralmente devem ser definidas em um objeto de origem e um objeto de destino. Por exemplo, se você mover uma máquina virtual, precisará de privilégios nessa máquina virtual, mas também de privilégios no centro de dados de destino.Consulte as seguintes informações. Segurança do vSphere VMware, Inc. Traduzido automaticamente 31 Para saber mais sobre ... Consulte… Criando funções personalizadas. Criar uma função personalizada do vCenter Server Todos os privilégios e os objetos aos quais você pode aplicar os privilégios Capítulo 16 Privilégios definidos Conjuntos de privilégios que são necessários em diferentes objetos para diferentes tarefas. Privilégios necessários para tarefas comuns O modelo de permissões para hosts ESXi autônomos é mais simples. Consulte Atribuindo privilégios para ESXi hosts. vCenter Server Validação do usuário Os sistemas vCenter Server que usam um serviço de diretório regularmente validam usuários e grupos em relação ao domínio de diretório do usuário. A validação ocorre em intervalos regulares especificados nas configurações de vCenter Server. Por exemplo, suponha que o usuário Smith tenha atribuído uma função em vários objetos. O administrador do domínio altera o nome para Smith2. O host conclui que Smith não existe mais e remove as permissões associadas a esse usuário dos objetos do vSphere quando ocorre a próxima validação. Da mesma forma, se o usuário Smith for removido do domínio, todas as permissões associadas a esse usuário serão removidas quando a próxima validação ocorrer. Se um novo usuário Smith for adicionado ao domínio antes que a próxima validação ocorra, o novo usuário Smith substituirá o antigo usuário Smith em permissões em qualquer objeto. Herança hierárquica de permissões Ao atribuir uma permissão a um objeto, você pode escolher se a permissão se propaga para baixo na hierarquia do objeto. Você define a propagação para cada permissão. A propagação não é aplicada universalmente. As permissões definidas para um objeto filho sempre substituem as permissões que são propagadas de objetos pai. A figura a seguir ilustra a hierarquia do inventário e os caminhos pelos quais as permissões podem ser propagadas. Observação Permissões globais oferecem suporte à atribuição de privilégios em soluções de um objeto raiz global. Consulte Permissões globais. Segurança do vSphere VMware, Inc. Traduzido automaticamente 32 Figura 2-4. Hierarquia de inventário do vSphere template host VDS datastore cluster vApp vApp vApp virtual machine virtual machine resource pool resource pool virtual machine virtual machine resource pool standard switch datastore cluster distributed port group VM folder host folder data center vCenter Server (vCenter Server instance level) network folder storage folder data center folder top level object (global permission level) content library Sobre esta figura: n Você não pode definir permissões diretas na VM, no host, na rede e nas pastas de armazenamento. Ou seja, essas pastas agem como contêineres e, como tal, não são visíveis para os usuários. n Você não pode definir permissões em switches padrão. Segurança do vSphere VMware, Inc. Traduzido automaticamente 33 A maioria dos objetos de inventário herda permissões de um único objeto pai na hierarquia. Por exemplo, um armazenamento de dados herda permissões de sua pasta de armazenamento de dados principal ou do centro de dados principal. As máquinas virtuais herdam permissões da pasta da máquina virtual principal e do host, cluster ou pool de recursos principal simultaneamente. Por exemplo, você pode definir permissões para um switch distribuído e seus grupos de portas distribuídas associados, definindo permissões em um objeto pai, como uma pasta ou um centro de dados. Você também deve selecionar a opção para propagar essas permissões para objetos herdeiros. As permissões assumem várias formas na hierarquia: Entidades gerenciadas Entidades gerenciadas referem-se aos seguintes objetos do vSphere. Entidades gerenciadas oferecem operações específicas que variam dependendo do tipo de entidade. Os usuários privilegiados podem definir permissões em entidades gerenciadas. Consulte a documentação do vSphere API para obter mais informações sobre objetos, propriedades e métodos do vSphere. n Clusters n Centros de dados n Repositórios de dados n Clusters de armazenamento de dados n Pastas n Hosts n Redes (exceto vSphere Distributed Switches) n Grupos de portas distribuídas n Pools de recursos n Modelos n Máquinas virtuais n vSphere vApps Entidades globais Você não pode modificar permissões em entidades que derivam permissões do sistema vCenter Server raiz. n Campos personalizados n Licenças n Funções n Intervalos estatísticos Segurança do vSphere VMware, Inc. Traduzido automaticamente 34 n Sessões Várias configurações de permissão Os objetos podem ter várias permissões, mas apenas uma permissão para cada usuário ou grupo. Por exemplo, uma permissão pode especificar que GroupAdmin tem a função de Administrador em um objeto. Outra permissão pode especificar que o GroupVMAdmin tem a função de Administrador de Máquina Virtual no mesmo objeto. No entanto, o grupo GroupVMAdmin não pode ter outra permissão para o mesmo GroupVMAdmin neste objeto. Um objeto filho herda as permissões de seu pai se a propriedade de propagação do pai estiver definida como true. Uma permissão definida diretamente em um objeto filho substitui a permissão no objeto pai. Consulte Exemplo 2: permissões herdeiras substituindo as permissões principais. Se várias funções de grupo forem definidas no mesmo objeto, e um usuário pertencer a dois ou mais desses grupos, duas situações serão possíveis: n Nenhuma permissão para o usuário é definida diretamente no objeto. Nesse caso, o usuário obtém a união das permissões que os grupos têm no objeto. n Uma permissão para o usuário é definida diretamente no objeto. Nesse caso, as permissões para o usuário têm precedência sobre todas as permissões de grupo. Exemplo 1: Herança de permissão de vários grupos Este exemplo ilustra como um objeto pode herdar várias permissões de grupos que têm permissão em um objeto pai. Neste exemplo, duas permissões são atribuídas no mesmo objeto para dois grupos diferentes. n PowerOnVMRole pode ligar máquinas virtuais. n O SnapShotRole pode tirar snapshots de máquinas virtuais. n O PowerOnVMGroup recebe o PowerOnVMRole na pasta da VM, com a permissão definida para propagar para objetos herdeiros. n O SnapShotGroup recebe o SnapShotRole na pasta da VM, com a permissão definida para propagar para objetos herdeiros. n O usuário 1 não tem privilégios específicos atribuídos. O usuário 1, que pertence ao PowerOnVMGroup e ao SnapShotGroup, faz login. O usuário 1 pode ligar e tirar snapshots da VM A e da VM B. Segurança do vSphere VMware, Inc. Traduzido automaticamente 35 Figura 2-5. Exemplo 1: Herança de permissão de vários grupos PowerOnVMGroup + PowerOnVMRole SnapShotGroup + SnapShotRole VM Folder VM A User 1 has privileges of PowerOnVMRole and SnapShotRole VM B Exemplo 2: permissões herdeiras substituindo as permissões principais Este exemplo ilustra como as permissões atribuídas a um objeto filho podem substituir as permissões atribuídas a um objeto pai. Você pode usar esse comportamento de substituição para restringir o acesso do usuário a áreas específicas do inventário. Neste exemplo, as permissões são definidas em dois objetos diferentes para dois grupos diferentes. n PowerOnVMRole pode ligar máquinas virtuais. n O SnapShotRole pode tirar snapshots de máquinas virtuais. n O PowerOnVMGroup recebe o PowerOnVMRole na pasta da VM, com a permissão definida para propagar para objetos herdeiros. n O SnapShotGroup recebe o SnapShotRole na VM B. O usuário 1, que pertence ao PowerOnVMGroup e ao SnapShotGroup, faz login. Como o SnapShotRole é atribuído em um ponto inferior na hierarquia do que o PowerOnVMRole, ele substitui o PowerOnVMRole na VM B. O usuário 1 pode ligar a VM A, mas não pode tirar snapshots. O usuário 1 pode tirar snapshots da VM B, mas não pode ligá-la. Figura 2-6. Exemplo 2: permissões herdeiras substituindo as permissões principaisPowerOnVMGroup + PowerOnVMRole SnapShotGroup + SnapShotRole VM Folder VM A User 1 has privilegesof PowerOnVMRole only VM B User 1 has privilegesof SnapShotRole only Segurança do vSphere VMware, Inc. Traduzido automaticamente 36 Exemplo 3: função do usuário substituindo a função do grupo Este exemplo ilustra como a função atribuída diretamente a um usuário individual substitui os privilégios associados a uma função atribuída a um grupo. Neste exemplo, as permissões são definidas no mesmo objeto. Uma permissão associa um grupo a uma função, a outra permissão associa um usuário individual a uma função. O usuário é um membro do grupo. n PowerOnVMRole pode ligar máquinas virtuais. n O PowerOnVMGroup recebe o PowerOnVMRole na pasta da VM. n O usuário 1 recebe a função NoAccess na pasta da VM. O usuário 1, que pertence ao PowerOnVMGroup, faz login. A função NoAccess concedida ao Usuário 1 na pasta da VM substitui a função atribuída ao grupo. O usuário 1 não tem acesso à pasta da VM ou às VMs A e B. As VMs A e B não são visíveis na hierarquia para o usuário 1. Figura 2-7. Exemplo 3: permissões de usuário substituindo permissões de grupo PowerOnVMGroup + PowerOnVMRole User 1 + no access VM Folder VM A User 1 has no access to the folder or the virtual machines VM B Gerenciando permissões para componentes do vCenter Uma permissão é definida em um objeto na hierarquia de objetos do vCenter. Cada permissão associa o objeto a um grupo ou usuário e à função de acesso do grupo ou do usuário. Por exemplo, você pode selecionar um objeto de máquina virtual, adicionar uma permissão que concede a função ReadOnly ao Grupo 1 e adicionar uma segunda permissão que concede a função Administrador ao Usuário 2. Ao atribuir uma função diferente a um grupo de usuários em objetos diferentes, você controla as tarefas que esses usuários podem realizar no seu ambiente do vSphere. Por exemplo, para permitir que um grupo configure a memória para o host, selecione esse host e adicione uma permissão que conceda uma função a esse grupo que inclui a Configuração do . host . Privilégio de configuração de memória . Para obter informações conceituais sobre permissões, consulte a discussão em Compreendendo o modelo de permissão de nível de objeto. Segurança do vSphere VMware, Inc. Traduzido automaticamente 37 Você pode atribuir permissões a objetos em diferentes níveis da hierarquia, por exemplo, você pode atribuir permissões a um objeto de host ou a um objeto de pasta que inclui todos os objetos de host. Consulte Herança hierárquica de permissões. Você também pode atribuir permissões de propagação a um objeto raiz global para aplicar as permissões a todos os objetos em todas as soluções. Consulte Permissões globais. Adicionar uma permissão a um objeto de inventário Depois de criar usuários e grupos e definir funções, você deve atribuir os usuários e grupos e suas funções aos objetos de inventário relevantes. Você pode atribuir as mesmas permissões de propagação a vários objetos simultaneamente movendo os objetos para uma pasta e definindo as permissões na pasta. Quando você atribui permissões, os nomes de usuário e de grupo devem corresponder exatamente a Active Directory, incluindo maiúsculas e minúsculas. Se você tiver atualizado de versões anteriores do vSphere, verifique se há inconsistências entre maiúsculas e minúsculas se tiver problemas com grupos. Pré-requisitos No objeto cujas permissões você deseja modificar, você deve ter uma função que inclua o privilégio de permissão Permissões . Modificar . Procedimentos 1 Navegue até o objeto para o qual você deseja atribuir permissões no navegador de objetos vSphere Client. 2 Clique na guia Permissions (Permissions). 3 Clique em Adicionar(Add). 4 (Opcional) Se você tiver configurado um provedor de identidade externo para autenticação federada, o domínio desse provedor de identidade estará disponível para seleção no menu suspenso Domínio (Domain). 5 Selecione o usuário ou grupo que terá os privilégios definidos pela função selecionada. a No menu suspenso Domínio (Domain), selecione o domínio para o usuário ou grupo. b Digite um nome na caixa Pesquisar. O sistema pesquisa nomes de usuário e nomes de grupo. c Selecione o usuário ou o grupo. 6 Selecione uma função no menu suspenso Função (Role). 7 (Opcional) Para propagar as permissões, marque a caixa de seleção Propagar para filhos (Propagate to children). A função é aplicada ao objeto selecionado e se propaga para os objetos herdeiros. 8 Clique em Okey(OK). Segurança do vSphere VMware, Inc. Traduzido automaticamente 38 Alterar ou remover permissões Depois que um par de usuário ou grupo e função é definido para um objeto de inventário, você pode alterar a função emparelhada com o usuário ou grupo ou alterar a configuração da caixa de seleção Propagar para filhos (Propagate to children). Você também pode remover a configuração de permissão. Procedimentos 1 Navegue até o objeto no navegador de objetos vSphere Client. 2 Clique na guia Permissions (Permissions). 3 Clique em uma linha para selecionar uma permissão. Tarefa Etapas Alterar permissões a Clique no ícone Change Role (Change Role). b Selecione uma função para o usuário ou grupo no menu suspenso Função (Role). c Alterne a caixa de seleção Propagar para filhos (Propagate to children) para alterar a herança de permissão. d Clique em Okey(OK). Remover permissões Clique no ícone Remove Permission (Remove Permission). Alterar as configurações de validação do usuário O vCenter Server valida periodicamente suas listas de usuários e grupos em relação aos usuários e grupos no diretório de usuários. Em seguida, remove usuários ou grupos que não existem mais no domínio. Você pode desativar a validação ou alterar o intervalo entre as validações. Se você tiver domínios com milhares de usuários ou grupos, ou se as pesquisas levarem muito tempo para serem concluídas, considere ajustar as configurações de pesquisa. Para versões de vCenter Server anteriores a vCenter Server 5.0, essas configurações se aplicam a um Active Directory associado a vCenter Server. Para o vCenter Server 5.0 e posterior, essas configurações se aplicam a vCenter Single Sign-On origens de identidade. Observação Este procedimento se aplica apenas a vCenter Server listas de usuários. Você não pode pesquisar ESXi listas de usuários da mesma maneira. Procedimentos 1 Navegue até o sistema vCenter Server no navegador de objetos vSphere Client. 2 Selecione Configurar (Configure) e clique em Configurações (Settings) > Geral (General). 3 Clique em Editar (Edit) e selecione Diretório do usuário (User directory). Segurança do vSphere VMware, Inc. Traduzido automaticamente 39 4 Altere os valores conforme necessário e clique em Salvar (Save). Opção Descrição Tempo limite do diretório do usuário Intervalo de tempo limite, em segundos, para se conectar ao servidor Active Directory. Este valor especifica a quantidade máxima de tempo que vCenter Server permite que uma pesquisa seja executada no domínio selecionado. Pesquisar domínios grandes pode levar muito tempo. Limite de consultas Ative para definir um número máximo de usuários e grupos que o vCenter Server exibe. Tamanho limite de consulta Número máximo de usuários e grupos do domínio selecionado que vCenter Server exibe na caixa de diálogo Selecionar usuários ou grupos (Select Users or Groups). Se você inserir 0 (zero), todos os usuários e grupos serão exibidos. Validação Desative para desativar a validação. Período de validação Especifica com que frequência o vCenter Server valida as permissões, em minutos. Permissões globais Permissões globais são aplicadas a um objeto raiz global que abrange soluções. Em um SDDC local, as permissões globais podem abranger vCenter Server e vRealize Orchestrator. Mas, para qualquer vSphere SDDC, as permissões globais se aplicam a objetos globais, como tags e bibliotecas de conteúdo. Você pode atribuir permissões
Compartilhar