Seguridad de vSphere 02 de abril de 2020 VMware vSphere 7.0 VMware ESXi 7.0 vCenter Server 7.0 Seguridad de vSphere Puede encontrar la documentación técnica más actualizada en el sitio web de VMware: https://docs.vmware.com/es/ Si tiene comentarios relacionados con esta documentación, envíelos a: [email protected] VMware, Inc. VMware Spain, S.L. 3401 Hillview Ave. Calle Rafael Boti 26 Palo Alto, CA 94304 2.ª planta www.vmware.com Madrid 28023 Tel.: +34 914125000 www.vmware.com/es © Copyright 2009-2020 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca comercial. VMware, Inc. 2 Contenido Acerca de la seguridad de vSphere 11 1 Seguridad en el entorno de vSphere 14 Proteger hipervisor de ESXi 14 Proteger los sistemas vCenter Server y los servicios asociados 16 Proteger máquinas virtuales 18 Proteger la capa de redes virtuales 19 Contraseñas en el entorno de vSphere 21 Recursos y prácticas recomendadas de seguridad 22 2 Tareas de administración de permisos y usuarios de vSphere 24 Descripción de la autorización en vSphere 25 Herencia jerárquica de permisos 27 Configuración de varios permisos 29 Administrar permisos para componentes de vCenter 32 Agregar un permiso a un objeto de inventario 33 Cambiar o quitar permisos 33 Cambiar la configuración de validación de usuarios 34 Permisos globales 35 Agregar permisos globales 36 Permisos en objetos de etiqueta 36 Usar funciones para asignar privilegios 38 Crear una función personalizada 40 Funciones del sistema vCenter Server 40 Prácticas recomendadas para funciones y permisos 42 Privilegios necesarios para la realización de tareas comunes 43 3 Proteger hosts ESXi 47 Recomendaciones generales sobre seguridad de ESXi 48 Configurar hosts ESXi con Host Profiles 49 Usar scripts para administrar las opciones de configuración de hosts 50 Bloqueo de cuenta y contraseñas ESXi 51 Seguridad de SSH 54 Dispositivos PCI/PCIe y ESXi 56 Deshabilitar el explorador de objetos administrados 57 Recomendaciones de seguridad para redes de ESXi 57 Modificar la configuración del proxy web de ESXi 58 Consideraciones de seguridad de vSphere Auto Deploy 58 VMware, Inc. 3 Seguridad de vSphere Acceso de control para herramientas de supervisión de hardware basadas en CIM 59 Administrar certificados para hosts ESXi 61 Certificados y actualizaciones de hosts 63 Flujos de trabajo de cambio de modo de certificado 64 Configuración predeterminada de certificados ESXi 67 Ver la información de caducidad de certificados de varios hosts ESXi 69 Ver los detalles de certificado para un host único de ESXi 69 Renovar o actualizar de certificados de ESXi 70 Cambiar el modo de certificado 71 Reemplazo de certificados y claves SSL de ESXi 71 Usar certificados personalizados con Auto Deploy 76 Restaurar archivos de certificados y claves de ESXi 77 Personalizar hosts con el perfil de seguridad 78 Configurar firewalls de ESXi 78 Personalizar los servicios de ESXi desde el perfil de seguridad 86 Habilitar o deshabilitar un servicio 87 Modo de bloqueo 88 Administrar los niveles de aceptación de hosts y VIB 94 Asignar privilegios para hosts ESXi 96 Usar Active Directory para administrar usuarios de ESXi 98 Configurar un host para utilizar Active Directory 99 Agregar un host a un dominio de servicio de directorio 100 Ver la configuración del servicio de directorio 101 Usar vSphere Authentication Proxy 101 Habilitar vSphere Authentication Proxy 102 Agregar un dominio a vSphere Authentication Proxy con vSphere Client 103 Agregar un dominio a vSphere Authentication Proxy con el comando camconfig 104 Usar vSphere Authentication Proxy para agregar un host a un dominio 104 Habilitar la autenticación de cliente para vSphere Authentication Proxy 105 Importar el certificado de vSphere Authentication Proxy en el host ESXi 106 Generar un nuevo certificado para vSphere Authentication Proxy 107 Configurar vSphere Authentication Proxy para usar certificados personalizados 108 Configurar la autenticación de tarjeta inteligente de ESXi 109 Habilitar la autenticación de tarjeta inteligente 110 Deshabilitar la autenticación de tarjeta inteligente 111 Autenticar con nombre de usuario y contraseña en caso de problemas de conectividad 111 Usar la autenticación de tarjeta inteligente en el modo de bloqueo 111 Usar ESXi Shell 112 Habilitar el acceso a ESXi Shell 113 Usar la interfaz de usuario de la consola directa para habilitar el acceso a ESXi Shell 114 Iniciar sesión en ESXi Shell para solucionar problemas 116 VMware, Inc. 4 Seguridad de vSphere Arranque seguro UEFI para hosts ESXi 116 Ejecutar el script de validación de arranque seguro en un host ESXi actualizado 118 Proteger hosts ESXi con el módulo de plataforma de confianza 119 Ver el estado de atestación de un host ESXi 120 Solucionar problemas de atestación de host ESXi 121 Archivos de registro de ESXi 121 Configurar Syslog en hosts ESXi 122 Ubicaciones de archivos de registro de ESXi 123 Proteger tráfico de registro de Fault Tolerance 124 4 Proteger sistemas vCenter Server 126 Prácticas recomendadas de seguridad de vCenter Server 126 Prácticas recomendadas sobre el control de acceso a vCenter Server 126 Limitar la conectividad de red de vCenter Server 129 Prácticas recomendadas de seguridad de vCenter Server 131 Requisitos de contraseñas y comportamiento de bloqueo de vCenter 131 Comprobar huellas digitales para hosts ESXi heredados 132 Puertos necesarios en vCenter Server 133 Puertos TCP y UDP adicionales de vCenter Server 136 5 Proteger máquinas virtuales 139 Habilitar o deshabilitar el arranque seguro UEFI para una máquina virtual 139 Limitación de los mensajes informativos de máquinas virtuales a archivos VMX 141 Evitar la reducción de discos virtuales 142 Prácticas recomendadas de seguridad para las máquinas virtuales 142 Protección general de la máquina virtual 143 Usar plantillas para implementar máquinas virtuales 144 Minimizar el uso de la consola de la máquina virtual 144 Evitar que las máquinas virtuales asuman el control de los recursos 145 Deshabilitar funciones innecesarias en máquinas virtuales 146 Proteger máquinas virtuales con Intel Software Guard Extensions 153 Descripción general de vSGX 153 Habilitar vSGX en una máquina virtual 154 Habilitar vSGX en una máquina virtual existente 155 Eliminar vSGX de una máquina virtual 156 6 Cifrado de máquinas virtuales 157 Cómo el cifrado de máquinas virtuales de vSphere protege el entorno 158 Componentes de cifrado de máquinas virtuales de vSphere 161 Flujo del proceso de cifrado 163 Cifrado de disco virtual 166 VMware, Inc. 5 Seguridad de vSphere Errores de cifrado de máquinas virtuales 167 Requisitos previos y privilegios necesarios para tareas de cifrado 167 vSphere vMotion cifrado 169 Interoperabilidad, advertencias y prácticas recomendadas de cifrado 171 Prácticas recomendadas de cifrado de máquinas virtuales 171 Advertencias de cifrado de máquinas virtuales 175 Interoperabilidad del cifrado de máquinas virtuales 176 7 Usar cifrado en el entorno de vSphere 178 Configurar el proveedor de claves estándar 178 Agregar un proveedor de claves estándar mediante vSphere Client 179 Establecer una conexión de confianza de proveedor de claves estándar mediante el intercambio de certificados 180 Establecer el proveedor de claves predeterminado 184 Finalizar la configuración de confianza de un proveedor de claves estándar 184 Configurar proveedores de claves independientes para diferentes usuarios 185 Crear una directiva de almacenamiento de cifrado 186 Habilitar el modo de cifrado de host de forma explícita 187 Deshabilitar el modo de cifrado de host 187 Crear una máquina virtual cifrada 188 Clonar una máquina virtual cifrada 189 Cifrar una máquina virtual o un disco virtual existente 190 Descifrar una máquina virtual o un disco virtual cifrados 192 Cambiar la directiva de cifrado para discos virtuales 193 Resolver problemas de claves faltantes 194 Desbloquear las máquinas virtuales bloqueadas 195 Solucionar problemas del modo de cifrado de host ESXi 196 Volver a habilitar el modo de cifrado de host ESXi 197 Establecer el umbral de caducidad de los certificados del servidor de administración de claves 198 Establecer intervalo de comprobación del servidor de administración de claves 198 Cifrado de máquinas virtuales de vSphere y volcados de núcleo 199 Recopilar un paquete de vm-support para un host ESXi que usa cifrado 200 Descifrar o volver a cifrar un volcado de núcleo cifrado 201 8 vSphere Trust Authority 203 Conceptos y funciones de vSphere Trust Authority 203 Cómo vSphere Trust Authority protege su entorno 203 Descripción general de la infraestructura de confianza 207 Flujos de procesos de vSphere Trust Authority 210 Topología de vSphere Trust Authority 215 Requisitos previos y privilegios necesarios para vSphere Trust Authority 215 Prácticas recomendadas, advertencias e interoperabilidad de vSphere Trust Authority 218 VMware, Inc. 6 Seguridad de vSphere Ciclo de vida de vSphere Trust Authority 220 Configurar vSphere Trust Authority en el entorno de vSphere 221 Habilitar el administrador de Trust Authority 223 Habilitar el estado de Trust Authority 224 Recopilar información sobre hosts ESXi e instancias de vCenter Server que serán de confianza 226 Importar la información del host de confianza en el clúster de Trust Authority 236 Crear el proveedor de claves en el clúster de Trust Authority 239 Exportar la información del clúster de Trust Authority 249 Importar la información del clúster de Trust Authority en los hosts de confianza 251 Configurar el proveedor de claves de confianza para hosts de confianza