Hola a tod@s
La tarea de poder proteger nuestros entornos virtuales con VMware vSphere no es una labor sencilla. Además, no es suficiente dejar las configuraciones de seguridad por defecto que trae VMware vSphere aunque estas estén parcialmente reforzadas. Existen varias formas de poder mejorar la seguridad de VMware vSphere y proteger nuestra infraestructura de amenazas de ciberseguridad, incluidos ataques malintencionados y errores humanos (capa 8).
Seguir las mejores prácticas de seguridad de vCenter Server ayuda a garantizar la integridad del entorno vSphere. El propósito de este post es solo nombrar algunas de las buenas prácticas para aumentar la seguridad de vCenter Server. Para profundizar más en el tema pueden visitar la documentación oficial de VMware en este link.
Existen herramientas de VMware o de terceros que pueden ayudarnos a mejorar la seguridad de nuestra infraestructura. En este post solo veremos las buenas prácticas enfocadas en vCenter Server, sin entrar en el uso de otras herramientas.
Mejores prácticas para el control de acceso a vCenter Server
- Asegurarse de que las aplicaciones usen cuentas de servicio únicas al conectarse a un sistema vCenter Server.
- No todos los usuarios que agreguemos como administradores deben tener el rol de administrador. En lugar de esto, VMware recomienda crear roles personalizados con los privilegios necesarios para realizar su trabajo.
- El usuario de base de datos solo requiere ciertos privilegios específicos para el acceso. Es posible quitar estos privilegios al administrador de la base de datos después de instalar o actualizar vCenter Server.
- Asignar el privilegio Datastore.Browse solo a los usuarios o grupos que realmente necesitan esos privilegios. Los usuarios con el privilegio pueden ver, cargar o descargar archivos de los datastore haciendo uso de vSphere Client.
- Restringir a los usuarios la ejecución de comandos en una máquina virtual. Un usuario con el rol de administrador de vCenter Server puede interactuar con archivos y programas dentro del sistema operativo guest de una máquina virtual. Para evitar que la confidencialidad, disponibilidad o integridad sea comprometida, podemos crear un rol de acceso nonguest personalizado. Para realizar este procedimiento podemos consultar la documentación en este link.
- Por defecto VMware cambia la contraseña del usuario vpxuser automáticamente cada 30 días. Podemos mejorar la directiva de contraseñas consultando la documentación de VMware: Establecer la directiva de contraseñas de vCenter Server.
- Es necesario que los usuarios que tengan acceso a la infraestructura VMware puedan verificar si la advertencia de los certificados es válida , ya que el usuario podría estar sujeto a un ataque MiTM.
- Eliminar de certificados y registros caducados o revocados de instalaciones fallidas. Si los certificados caducados o revocados no se quitan del sistema vCenter Server, el entorno puede estar sujeto a un ataque MiTM.
Limitación de la conectividad de red del servidor vCenter
Para mejorar la seguridad de vCenter, debemos evitar colocar vCenter server en una red la cual no sea para uso de administración, ya que esta red debe contar con restricciones de acceso. Al limitar la conectividad de red, se limitan ciertos tipos de ataque y se mejora la seguridad de nuestra infraestructura.
En caso de que vCenter tenga acceso a internet, es necesario contar con la seguridad correspondiente para evitar ataques, como el uso de firewall u otras herramientas que restrinjan los accesos a solo los servicios necesarios.
vCenter Server requiere conectividad de red a los siguientes sistemas:
- La base de datos de vCenter Server.
- Todos los hosts ESXi que administrara.
- Servicios de infraestructura tales como DNS, Active Directory, y PTP o NTP.
- Otros sistemas vCenter Server (vCenter Enhanced Linked Mode).
- Clientes de administración: vSphere Client, Host windows donde se utiliza PowerCLI o cualquier otro cliente basado en SDK.
- Otros sistemas que ejecutan componentes que son esenciales para la funcionalidad del sistema vCenter Server.
Utilice el firewall en vCenter Server. Incluya restricciones de acceso basadas en IP para que solo los componentes necesarios puedan comunicarse con vCenter Server.
Otro punto importante son las extensiones de vSphere Client Plug-Ins. Una extensión maliciosa puede hacerse pasar por un complemento útil y realizar operaciones dañinas como robar credenciales o cambiar la configuración del sistema. Para protegerse contra un compromiso potencial de vSphere Client, se deben examinar todos los complementos instalados periódicamente y asegurarse de que cada complemento proviene de un origen de confianza.
Mejores prácticas de seguridad de vCenter Server
Algunos pasos adicionales para mejorar la seguridad en vCenter Server:
Configurar NTP o PTP
Tenemos que asegurarnos que todos nuestros sistemas utilizan la misma fuente de tiempo relativa. Esta fuente de tiempo debe estar sincronizada con un estándar de tiempo acordado, como el Tiempo Universal Coordinado (UTC). Los sistemas sincronizados son esenciales para la validación de certificados. NTP también facilita el seguimiento de un intruso en los archivos de registro. Una configuración horaria incorrecta dificulta la inspección y correlación de los archivos de registro para detectar ataques, y hace que la auditoría sea inexacta. Para más detalles pueden revisar el siguiente link: Synchronize the Time in vCenter Server with an NTP Server.
Restringir el acceso a la red de vCenter Server
Restringir el acceso a los componentes necesarios para comunicarse con el vCenter Server. Para más información, se puede consultar la herramienta Puertos y protocolos de VMware en https://ports.vmware.com/. Es posible buscar puertos por producto de VMware, crear una lista personalizada de puertos e imprimir o guardar listas de puertos.
Actualizaciones de seguridad
Debemos estar atentos a las actualizaciones disponibles para nuestro vCenter y en lo posible tenerlo al día con estas. Con vSphere 7 esta tarea es más fácil si usamos vCenter Server Update Planner.
Uso de registros DNS
Una buena práctica es usar direccionamiento IP estático y nombres de host, hacer uso de registro de DNS, como también la resolución de nombres inversos.
Requisitos de la contraseña de vCenter y comportamiento de bloqueo
- Un punto importante para administrar nuestro entorno vSphere, es tener en cuenta la directiva de contraseñas de inicio de sesión de vCenter y el comportamiento de bloqueo.
- En vCenter Server, los requisitos de contraseña son dictados por vCenter Single Sign-On o por el origen de identidad configurado, que puede ser Active Directory, OpenLDAP.
- Los usuarios se bloquean después de un número preestablecido de intentos fallidos consecutivos. De forma predeterminada, los usuarios se bloquean después de cinco intentos fallidos consecutivos. Una cuenta bloqueada se desbloquea automáticamente después de cinco minutos.
Poder cumplir con las buenas prácticas recomendadas nos ayudará en el camino para poder reducir los riegos de ataques y cumplir con los requerimientos normativos o de seguridad de nuestras empresas.
En próximos post seguiremos abarcando algunas de las buenas prácticas para seguridad en redes vSphere, seguridad de VMware ESXi, seguridad de máquinas virtuales y mejores prácticas que implican varios componentes de vSphere. Espero que esta información les haya sido útil. Si tienes dudas o alguna acotación sobre este post, déjalo en comentarios. Saludos.