vcloud director 安全性 - vmware · 3 vcloud director 架構和安全性功能 7...
TRANSCRIPT
vCloud Director 安全性
VMware Cloud Director 9.5vCloud Director 9.1
您可以在 VMware 網站上找到 新的技術文件,網址如下:
https://docs.vmware.com/tw/
如果您對於本文件有任何意見,歡迎寄至:
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
Copyright © 2010-2020 VMware, Inc. 保留所有權利。 版權與商標資訊。
vCloud Director 安全性
VMware, Inc. 2
目錄
1 簡介 4
2 威脅 5
3 vCloud Director 架構和安全性功能 7虛擬機器安全性與隔離 8
安全性和 vCloud Director 抽象 8
安全性和虛擬網路層 9
4 基礎結構安全性 11資料庫安全性 12
5 系統安全性 14網路安全性需求 14
憑證 16
防火牆 18
負載平衡器和 SSL 終止 18
保護 AMQP (RabbitMQ) 安全 19
保護 Cassandra (虛擬機器度量資料庫) 安全 20
保護 JMX 存取安全 20
管理網路組態 21
稽核與記錄 22
6 承租人安全性 25承租人組織的網路安全性 25
資源配置和隔離 26
資源共用和隔離建議 29
使用者帳戶管理 32
角色型存取控制 33
設定身分識別提供者 34
7 檢查清單 37
VMware, Inc. 3
簡介 1VMware vCloud Director 是提供雲端計算服務的彈性系統。它可利用並延伸 VMware 的核心虛擬化和管理
技術以支援雲端環境。
由於系統已對多租戶、擴充性和考慮到的其他安全問題進行開發和測試,因此其部署方式可能對整體系統
的安全性有顯著影響。本文件說明了系統可能會遭遇的一些威脅,以及整體 VMware 軟體堆疊提供的安全
性功能和所使用的相關元件,例如資料庫。
沒有一組準則可以涵蓋所有可能的客戶使用案例。每個 vCloud Director 部署可能具有其自己的 IT 環境,
並且網路拓撲、內部安全系統與標準、客戶需求和使用案例之間存在差異。將提供部分一般準則以增強系
統的整體安全性。在適當的情況下,還會將更具體的使用案例連同專用於這些特定案例的指引一起考量。
然而,您選擇遵循的本指南中的特定建議將 終取決於您的唯一部署環境,以及您判斷為組織的風險並想
要減少的威脅。
一般而言,vCloud Director 的威脅分為兩個不同的類別:內部威脅和外部威脅。內部威脅通常涉及多租戶
問題,而外部威脅目標為主控雲端環境的安全性,但這些行並非固定不變。例如,有內部威脅會攻擊主控
環境的安全性。
除了遵循本文件中的指引,您還應該監控位於 http://www.vmware.com/security/advisories.html 的安全性建
議並使用該頁面上的表單註冊電子郵件警示。針對 vCloud Director 的其他安全性指引以及 新建議將張貼
在此處。
建議範圍
本指南中提供的建議僅限於 vCloud Director 的專屬安全性問題管理。做為主控於 Linux 平台上的 Web 應用程式,vCloud Director 容易遭到這兩種類別中存在的安全性漏洞的攻擊,所有這些漏洞已記錄於其他位
置。
另外,還務必記住安全部署軟體是整體安全性程序的唯一部分,其中包括實體安全性、訓練、操作程序、
修補程式策略、呈報和回應計劃、災難復原,以及許多其他主題。其中大部分輔助主題將不在本指南中討
論。
VMware, Inc. 4
威脅 2vCloud Director 的安全性威脅可以大致分類為來自系統及其承租人的內部威脅或來自系統以外的外部威
脅。後一種類別包含建立以主控 vCloud Director 伺服器群組的基礎結構的威脅和已安裝 vCloud Director 軟體的威脅。
多租戶及內部威脅
vCloud Director 旨在為承租人提供 VMware vSphere ® 網路、計算和儲存資源的管理存取權。承租人使用
者可以登入 vCloud Director,且通常會獲得部署和/或使用虛擬機器、使用儲存區、執行應用程式,以及
(在一定程度上) 與其他使用者共用資源的權限。
vCloud Director 的其中一個重要功能是,不會向非管理使用者提供大多數系統層級資源的直接可見度或存
取權,包括實體主機資訊,例如 IP 位址、MAC 位址、CPU 類型、ESXi 存取權、實體儲存位置等。但
是,使用者可能仍會嘗試存取其已啟用雲端的應用程式執行所在的系統基礎結構的相關資訊。如果可以這
麼做,可能能夠針對較低層級的系統更好地啟動攻擊。
即使在虛擬化資源的層級,使用者仍可以嘗試使用其合法存取權來取得對未獲授權之部分系統的未經授權
存取權,例如屬於另一個組織的資源。他們可能會嘗試提升權限,尤其是取得為管理員保留之動作的存取
權。使用者也可能會有意或無意嘗試中斷系統的整體可用性和效能等動作,甚至在極端情況下會導致其他
使用者「拒絕服務」。
此外,通常存在不同的管理使用者。其中包括 vCloud Director 站台的系統管理員、承租人組織管理員、資
料庫和網路的管理員,以及具有 ESXi、vCenter 和執行管理工具之客體作業系統的存取權限的使用者。與
一般使用者相比,這些使用者擁有更高權限,而且通常可直接登入內部系統。不過,他們的權限並非無
限。如果他們過多地嘗試提升權限或採取有害的動作,會發生潛在威脅。
顯然,抵禦這些威脅的 vCloud Director 安全性來自 vCloud Director、vSphere 和 VMware NSX®,及其他
安全系統的架構、設計和實作,以及部署這些系統的基礎結構。由於這些系統的彈性和動態特性,請務必
遵循適用於所有這些元件的安全性組態指引。
保護主控和外部威脅
外部威脅的來源為雲端以外 (包括網際網路) 的系統和使用者,其透過 API 和 Web 介面 (vCloud Director Web 主控台和 vCloud Director 承租人入口網站),以及 vApp 傳輸服務和虛擬機器遠端主控台攻擊 vCloud Director。沒有系統存取權限的遠端使用者可嘗試以授權使用者身分取得存取權。這些介面的已驗證使用者
也會視為外部威脅的來源,因為他們可能會嘗試利用系統中無法供未驗證使用者使用的漏洞。
VMware, Inc. 5
通常,這些執行者會嘗試利用系統實作或其部署中的瑕疵以取得資訊、獲得服務存取權,或僅透過失去系
統可用性或系統和資訊完整性中斷雲端作業。如這些攻擊的說明所示,部分攻擊違反了 vCloud Director 嘗試強制執行的承租人邊界和硬體抽象層。雖然部署系統的不同層會減少這些威脅,但包括防火牆、路由
器、VPN 等在內的對外介面是 關鍵的問題。
vCloud Director 安全性
VMware, Inc. 6
vCloud Director 架構和安全性功能 3vCloud Director 提供 VMware vSphere ® 和 VMware NSX® 基礎結構即服務,以啟用雲端環境中所需的承
租人隔離。
vCloud Director 伺服器群組包含一或多個 Linux 伺服器。群組中的每個伺服器都會執行一組稱為 vCloud Director 儲存格的服務。所有儲存格共用單一 vCloud Director 資料庫,並連線至多個 vCenter Server 系統、其管理的 ESXi 主機,以及提供網路服務的 NSX Manager。
圖 3-1. vCloud Director 架構圖表
vCloud Director伺服器
儲存格
vCloud Director 安裝
vCenter
VMware vCloud DirectorVMware vSphere
ESXi
ESXi
NSXvCenter資料庫
vCloudDirector資料庫
圖 圖 3-1. vCloud Director 架構圖表 顯示單一 vCloud Director 伺服器群組 (安裝)。在伺服器群組內,可能
有多台 vCloud Director 伺服器主機,每台主機執行單一儲存格。伺服器群組會一起共用 vCloud Director 資料庫和 NFS 檔案共用 (未顯示)。雲端抽象是使用 vCloud Director 軟體,並利用 vCenter 和 NSX 的功能
所建立,如圖中連線至伺服器群組所示。vCloud Director 組織及其使用者不直接與 vCenter 和 NSX 互動
VMware, Inc. 7
來建立和管理其工作負載。對於除系統管理員以外的任何人,所有與 vCenter 和 NSX 的互動都顯示為
vCloud Director 物件上的 vCloud Director 作業。在 vCloud Director 物件上存取和運作的權限以角色為基
礎。預先定義的角色可提供對一般工作的基準存取權。組織管理員也可以建立自訂角色,以利用更為精細
的陣列權限。
後續子章節說明虛擬運算層、雲端抽象和虛擬網路層的安全性。
本章節討論下列主題:
n 虛擬機器安全性與隔離
n 安全性和 vCloud Director 抽象
n 安全性和虛擬網路層
虛擬機器安全性與隔離
在本文件中檢查安全性與網路隔離時,我們將會評估網路區隔和流量隔離控制不足的風險並選擇建議的修
正動作。
查看網路分割時,我們獲得了信任區域的概念。信任區域是控制網路流量存取權的主動式安全性控制。信
任區域大致定義為網路區段,在該區段內資料流動相對自由,而流入和流出信任區域的資料將受到更強的
限制。信任區域的範例包括:
n 周邊網路 (也稱為非軍事區域或 DMZ)
n 支付卡產業 (PCI) 持卡人資料環境
n 站台專屬區域,例如按照部門或功能分割
n 應用程式定義的區域,例如 Web 應用程式的三個階層
安全性和基礎虛擬層
大部分 vCloud Director 安全性,特別是保護雲端承租人抵禦內部威脅,來自安全性設計和基礎虛擬層的特
定組態。這包括 vSphere 的設計和組態、vCloud Director 軟體定義網路的額外安全性、NSX 技術的運用,
以及 ESXi 主機本身的安全性。
安全性和 vCloud Director 抽象
vCloud Director 在 vSphere 作業和承租人的日常運作需求之間施加了嚴格的劃分。
vCloud Director 抽象可讓服務提供者向承租人組織委派 vApp 建立、管理和使用 (或讓 IT 部門委派這些功
能給業務線團隊)。承租人組織管理員和使用者不會操作或管理 vCenter 功能,如 vMotion、vSAN 等。承
租人僅負責部署其工作負載 (vApp) 至資源集區和儲存區設定檔,並將其連線至其組織所擁有的組織 VDC 網路。由於組織管理員和使用者從未登入 vCenter,因此設定錯誤的 vCenter 權限不可能為使用者提供過
多的權限。此外,提供者可自由變更資源集區和儲存區設定檔的組合,而組織不需要變更任何內容。
vCloud Director 安全性
VMware, Inc. 8
更重要的是,此抽象會區分彼此不同的組織。即使偶然被指派常用網路、資料存放區或資源集區,仍無法
修改甚至查看對方的 vApp。(例外狀況是連線到同一個外部網路的 vApp,因為它們共用相同的 vSwitch)。為每個承租人組織提供自己專屬的資料存放區、網路和資源集區雖非系統要求,但可讓服務提供者強制執
行更有效的組織劃分。
限制承租人對系統資訊的存取權
雖然 vCloud Director 旨在對承租人隱藏系統層級的作業,但系統的某些功能仍可設定為提供惡意承租人可
能會不當使用的資訊。
停用向客體傳送主機效能
資料。
在安裝了 VMware Tools 的 Windows 作業系統中,vSphere 會包括虛擬機器
效能計數器。依預設,vSphere 不會向客體虛擬機器公開主機資訊。由於實
體主機的相關資訊可能會遭到惡意承租人不當使用,因此,應確認此預設行
為保持不變。如需詳細資料,請參閱《vSphere 安全性》中的〈確認已停用
向客體傳送主機效能資料〉。
限制虛擬機器度量收集 vCloud Director 可以收集可提供虛擬機器效能與資源使用量之 新資訊與歷
史資訊的度量。由於其中部分度量包括惡意承租人可能會不當使用的實體主
機的相關資訊,您應考慮設定度量收集子系統以僅收集不會遭到惡意使用的
度量。如需詳細資料,請參閱 《vCloud Director 管理員指南》中的〈設定度
量收集〉。
謹慎處理延伸
vCloud Director 支援多個擴充性方法。雖然這些方法均旨在防止任何延伸取得未授與承租人使用者的權限
或提升在安裝時指派的權限,延伸仍會有意或無意地提供其他攻擊介面 (瞭解延伸的某些人可能會利用這些
介面)。提供、檢閱或安裝延伸時,服務提供者和承租人管理員應務必小心。此外,謹慎管理允許的延伸和
使用適當的保護措施,例如 X-Content-Type-Options: nosniff 標頭,可防止外掛程式載入惡意內容。
安全性和虛擬網路層
vCloud Director 網路可充分利用 vSphere 和 NSX 的軟體定義網路功能,為承租人提供共用網路資源的安
全存取權。服務提供者的責任僅限於提供外部連線和網路基礎結構,需要具備此項才能讓這些連線可供承
租人使用,並且將系統層級的網路資源配置給網路集區使其可供承租人耗用。
此 vCloud Director 的簡要概觀旨在從安全性組態的角度,建立可在其中討論提供者層級和承租人層級的網
路需求的環境。這些功能會在 vCloud Director 說明文件中詳述,網址為 http://docs.vmware.com。
提供者層級的網路資源
在一般情況下,服務提供者負責建立 vCloud Director 與外部網路 (例如網際網路或客戶的企業網路) 之間的
一或多個連線。此類網路本質上是商用 IP 網路連線。如果其上的封包在實體層級遭攔截,則不會提供機密
性,並且不會提供任何 vCloud Director VLAN 或 VXLAN 網路隔離功能。
vCloud Director 安全性
VMware, Inc. 9
若要啟用承租人組織網路,服務提供者必須建立一或多個網路集區,以採用可供承租人組織使用的形式,
從 ESXi DVswitch 和連接埠群組彙總資源。(外部網路不會耗用網路集區中的資源)。VXLAN 或 VLAN 支援
的網路集區可以使用 VLAN 跨 vNetwork Distributed Switch 提供隔離。vCloud Director VXLAN 網路也可
以透過在 ESXi 核心中的其他第 2 層封包 (MAC-in-MAC) 中封裝第 2 層封包以提供隔離,讓核心在解除封
裝封包時能夠將其導向至已連線到在此類集區以外建立之網路的正確客體虛擬機器。
服務提供者還負責建立和管理 NSX 基礎結構,此基礎結構位於承租人為自己建立的網路與系統層級的資源
(例如,由 ESXi 提供的交換器和連接埠群組) 之間。透過這些資源,承租人組織可以建立其自己的網路。
組織 VDC 網路
組織 VDC 網路可讓組織 VDC 中的虛擬機器相互通訊,並直接存取或透過可提供防火牆和 NAT 服務的
Edge 閘道存取其他網路,包括組織 VDC 網路與外部網路。
n 直接組織 VDC 網路會直接連線至外部網路。只有系統管理員可以建立直接組織 VDC 網路。
n 路由的組織 VDC 網路會透過 Edge 閘道連線至外部網路。路由的組織 VDC 網路還需要內含 VDC 才能
包括網路集區。當系統管理員使用 Edge 閘道佈建組織 VDC 並將其與網路集區建立關聯後,組織管理
員或系統管理員可以在該 VDC 中建立路由的組織 VDC 網路。
n 隔離的組織 VDC 網路不需要 Edge 閘道或外部網路,但需要內含 VDC 才能與網路集區建立關聯。當
系統管理員使用網路集區建立組織 VDC 後,組織管理員或系統管理員可以在該 VDC 中建立隔離的組
織 VDC 網路。
表 3-1. 組織 VDC 網路的類型及其需求
組織 VDC 網路連線 描述 需求
直接連線至外部網路。 提供第 2 層直接連線至組織 VDC 外的機器和網路。此組織
VDC 外的機器可以直接連線至組織 VDC 內的機器。
雲端必須包含外部網路。
路由連線至外部網路。 提供經由 Edge 閘道之組織 VDC 外的機器和網路的控制存
取。系統管理員及組織管理員可以在閘道上設定網路位址轉
譯 (NAT) 及防火牆設定,以便可從外部網路存取 VDC 中的
特定虛擬機器。
VDC 必須包含 Edge 閘道和網路集
區。
未連線至外部網路。 提供隔離的私人網路,可供組織 VDC 中的機器連線。此網
路不能與此組織 VDC 外的機器建立傳入或傳出連線。
VDC 必須包含網路集區。
依預設,只有包含網路之組織 VDC 中的虛擬機器才可以使用它。當您建立組織 VDC 網路時,您可以將其
指定為共用。共用的組織 VDC 網路可以供組織內的所有虛擬機器使用。
vApp 網路
每個 vApp 都包含 vApp 網路。vApp 網路是控制 vApp 中的虛擬機器如何相互連線以及連線至組織 VDC 網路的邏輯網路。使用者可以建立和更新 vApp 網路,並採用直接方式或透過 NAT 和防火牆保護將其連線至
組織 VDC 網路。
vCloud Director 安全性
VMware, Inc. 10
基礎結構安全性 4本指南的大部分內容都是關於保護 vCloud Director 本身,但是整體系統安全性還需要保護 vCloud Director 所依賴的基礎結構的安全,包括 vSphere、NSX、儲存格 Linux 平台和 vCloud Director 資料庫。
安裝前將目前的安全性修補程式套用至其中每個基礎結構元件是關鍵步驟,而持續監控以將這些元件保持
在目前的修補程式層級同樣至關重要。
保護 VMware 基礎結構安全
保護 vSphere 和 NSX 安全是保護 vCloud Director 的第一個關鍵步驟。管理員應檢閱 https://www.vmware.com/security/hardening-guides.html 中提供的檢查清單與指南,同時參閱下列文件中提供的
更詳細的安全性資訊:
vSphere 安全性 《vSphere 安全性》。https://docs.vmware.com/tw/VMware-vSphere/6.0/com.vmware.vsphere.security.doc/GUID-52188148-C579-4F6A-8335-CFBCE0DD2167.html
NSX 安全性 《保護 VMware NSX for vSphere 安全》。https://communities.vmware.com/docs/DOC-27674 和 https://communities.vmware.com/docs/DOC-28142。
保護儲存格平台安全
vCloud Director 儲存格以安裝期間建立的無權限使用者身分 (vcloud.vcloud) 在 Linux 作業系統上執行。
《vCloud Director 版本說明》中包含支援的儲存格平台作業系統的清單。保護儲存格平台 (不論是實體或虛
擬) 安全,是保護 vCloud Director 安全的重要部分。
標準安全性強化程序應套用至儲存格平台,包括停用不必要的網路服務、移除不必要的套件、限制遠端根
存取權限,以及強制執行強式密碼原則。嘗試使用集中式驗證服務,例如 Kerberos。考慮安裝監控與入侵
偵測工具。
可以在儲存格作業系統執行個體上安裝其他應用程式和佈建其他使用者,但不建議您這麼做。拓寬儲存格
作業系統的存取權可能會降低安全性。
VMware, Inc. 11
安裝後保護敏感檔案
在安裝期間,vCloud Director 將包括密碼在內的安裝資料寫入儲存格 Linux 主機的本機檔案系統中的檔
案。global.properties 和 responses.properties 檔案 (兩個檔案均位於 $VCLOUD_HOME/etc 下) 包含您新增更多伺服器至伺服器群組時必須重複使用的敏感資訊。responses.properties 檔案包含執行組
態指令碼時,系統管理員所提供的回應。該檔案包含加密版本的 vCloud Director 資料庫密碼和系統金鑰儲
存區密碼。未經授權存取該檔案可能會讓攻擊者使用與組態指令碼中指定的資料庫使用者相同的權限來存
取 vCloud Director 資料庫組態。global.properties 檔案還包含僅應當供儲存格管理員存取的加密認
證。
在建立時,responses.properties 和 global.properties 檔案受到 $VCLOUD_HOME/etc 資料夾及檔
案本身的存取控制保護。請勿變更檔案或資料夾的權限,因為它可能會提供過多的存取權,進而降低安全
性,或限制過多的存取權,從而使 vCloud Director 軟體無法工作。為了讓存取控制正常工作,vCloud Director 伺服器的實體和邏輯存取權必須嚴格限制為需要登入,並且僅需要 低層級的存取權。這包括限制
根帳戶透過 sudo 和其他 佳做法加以使用,這一點不在本文件討論範圍內。此外,必須嚴格保護和加密伺
服器的任何備份,金鑰須與備份本身分開管理。
如需更多詳細資料,請參閱 《vCloud Director 安裝與升級指南》中的〈保護和重複使用回應檔〉。
管理認證
確保用於儲存格、vSphere、vCloud Director 資料庫、外部防火牆和其他裝置之管理存取權的任何認證都
遵循適當密碼複雜性的標準。盡可能考慮密碼到期和輪替原則。但是,請注意,過期或變更的資料庫、
vSphere 或 NSX 密碼將使部分或全部雲端基礎結構無法運作,直到 vCloud Director 使用新密碼進行更新
為止。
從「深度防禦」角度來看,為 vCloud Director 環境中不同伺服器 (包括 vCloud Director 儲存格、vCloud Director 資料庫、vSphere Server 和 NSX Manager) 設定不同的管理密碼是非常重要的。這是為了在一組
認證遭到損壞 (例如,離開組織時情緒不滿的某位員工破壞認證) 時,剩餘基礎結構中的其他系統不會自動
受到影響。
如需有關管理員和承租人之帳戶及認證管理的詳細資訊,請參閱使用者帳戶管理
本章節討論下列主題:
n 資料庫安全性
資料庫安全性
一般而言,資料庫安全性不在本文件討論範圍內。與雲端部署中使用的所有其他系統相同,應根據業界
佳做法正確保護 vCloud Director 資料庫的安全。
vCloud Director 資料庫使用者帳戶應該僅具備《vCloud Director 安裝與升級指南》之適當資料庫組態指引
中列出的系統權限。不應該授與 vCloud Director 資料庫使用者對該伺服器上的其他資料庫的權限或其他系
統管理權限。這會違反資料庫伺服器的 低權限原則,並為使用者提供超過必要權限的更多權限。
vCloud Director 安全性
VMware, Inc. 12
我們建議參閱下列文件以取得資料庫安全性資訊。
Microsoft SQL Server SQL Server 安全性 佳做法,網址為 http://download.microsoft.com/download/8/f/a/8fabacd7-803e-40fc-adf8-355e7d218f4c/sql_server_2012_security_best_practice_whitepaper_apr2012.docx。
備註 vCloud Director 不支援到 Microsoft SQL Server 資料庫的 SSL 連線。
Oracle 《Oracle 資料庫安全性指南》,網址為 https://docs.oracle.com/cd/B28359_01/network.111/b28531.pdf。
備註 vCloud Director 9.5 不支援 Oracle 資料庫。
vCloud Director 9.1 支援 Oracle 資料庫,但不支援透過 HTTPS 和 SSL 連線至 Oracle 資料庫。
PostgreSQL 除了啟用 SSL 以進行 PostgreSQL 連線,我們還建議您從 IBM developerWorks 檢閱 PostgreSQL《伺服器管理》文件和 PostgreSQL 資料
庫中的全方位防護。
vCloud Director 安全性
VMware, Inc. 13
系統安全性 5服務提供者和系統管理員負責每個 vCloud Director 伺服器群組的安全性。
保護 vCloud Director 伺服器群組免遭外部攻擊者的攻擊,需要您採取所有以 Web 為基礎的服務的通用防
禦措施類型,包括使用簽署的憑證保護 HTTPS 端點,以及將 Web 應用程式防火牆置於系統和網際網路之
間。此外,請務必採用盡量降低外部執行者損壞這些系統的機會的方式,設定 vCloud Director 所依賴的服
務,包括 RabbitMQ AMQP Broker 和選擇性 Apache Cassandra 資料庫。
本章節討論下列主題:
n 網路安全性需求
n 憑證
n 防火牆
n 負載平衡器和 SSL 終止
n 保護 AMQP (RabbitMQ) 安全
n 保護 Cassandra (虛擬機器度量資料庫) 安全
n 保護 JMX 存取安全
n 管理網路組態
n 稽核與記錄
網路安全性需求
vCloud Director 的安全作業需要安全的網路環境。設定並測試此網路環境,然後再開始安裝 vCloud Director
VMware, Inc. 14
將所有 vCloud Director 伺服器連線至安全且受到監控的網路。vCloud Director 網路連線具有數個額外的需
求:
n 不要將 vCloud Director 直接連線至公用網際網路。一律使用防火牆來保護 vCloud Director 網路連線。
連接埠 443 (HTTPS) 必須只對傳入連線開啟。必要時,連接埠 22 (SSH) 及 80 (HTTP) 也可以對傳入
連線開啟。此外,cell-management-tool 還需要存取儲存格的回送位址。防火牆必須拒絕來自公用
網路的所有其他傳入流量,包括 JMX 要求 (連接埠 8999) 在內。
表 5-1. 必須允許來自 vCloud Director 主機的傳入封包的連接埠
連接埠 通訊協定 註解
111 TCP、UDP 傳輸服務所使用的 NFS 連接埠對應程式
920 TCP、UDP 傳輸服務所使用的 NFS rpc.statd
61611 TCP AMQP
61616 TCP AMQP
n 不要將用於傳出連線的連接埠連線至公用網路。
表 5-2. 必須允許來自 vCloud Director 主機的傳出封包的連接埠
連接埠 通訊協定 註解
25 TCP、UDP SMTP
53 TCP、UDP DNS
111 TCP、UDP 傳輸服務所使用的 NFS 連接埠對應程式
123 TCP、UDP NTP
389 TCP、UDP LDAP
443 TCP 使用標準連接埠的 vCenter、NSX Manager 以及
ESXi 連線。如果您已為這些服務選擇不同的連接
埠,請停用連接埠 443 的連線,然後針對選擇的連
接埠進行啟用。
514 UDP 選擇性。啟用 Syslog 使用。
902 TCP vCenter 及 ESXi 連線。
903 TCP vCenter 及 ESXi 連線。
920 TCP、UDP 傳輸服務所使用的 NFS rpc.statd。
1433 TCP 預設 Microsoft SQL Server 資料庫連接埠。
5672 TCP、UDP 選擇性。用於工作延伸的 AMQP 訊息。
61611 TCP AMQP
61616 TCP AMQP
n 透過專用私人網路路由 vCloud Director 伺服器與以下伺服器之間的流量。
n vCloud Director 資料庫伺服器
n RabbitMQ
vCloud Director 安全性
VMware, Inc. 15
n Cassandra
n 如果可能,透過專用私人網路路由 vCloud Director 伺服器、vSphere 與 NSX 之間的流量。
n 虛擬交換器與支援提供者網路的分散式虛擬交換器必須彼此隔離。它們無法共用相同的第 2 層實體網
路區段。
n 將 NFSv4 用於傳輸服務儲存區。 常見的 NFS 版本 NFSv3 不會提供「傳輸中加密」,在某些組態
中,此加密可能會針對正在傳輸的資料啟用傳遞探查或竄改。SANS 白皮書《受信任和不受信任環境
中的 NFS 安全性》說明了 NFSv3 的固有威脅。可從 VMware 知識庫文章 2086127 中取得有關設定和
保護 vCloud Director 傳輸服務之安全的其他資訊。
憑證
vCloud Director 使用 HTTPS (TLS 或 SSL) 來保護所有外部端點的所有網路流量。包括 AMQP 和 LDAP 在內的許多內部端點也支援 HTTPS。針對外部端點提供由已知憑證授權機構 (CA) 簽署的憑證尤為重要。
內部端點不易受到攻擊,並且在大多數情況下可使用企業憑證甚至自我簽署憑證進行充分保護。
所有憑證應具有符合其安裝所在伺服器之完整網域名稱 (FQDN) 的一般名稱 (CN) 欄位。通常,這表示伺服
器已在 DNS 中登錄,因此其具有明確定義的唯一 FQDN,同時還表示您將透過 FQDN 而非 IP 位址連線到
該伺服器。如果您打算使用 IP 位址進行連線,則憑證應包含符合主機 IP 位址的 subjectAltName 欄位。
其他資訊可在 (RFC 6125) 和 (RFC 5280) 中找到。還應咨詢您的 CA。
公用端點的憑證
向企業網路或其他公用網路 (例如網際網路) 公開的端點,應使用由已知根 CA 簽署的憑證加以保護。這些
端點包含:
n 儲存格 HTTPS 位址和主控台 Proxy 位址。您必須設定兩個位址,並且在安裝期間提供其憑證和金鑰儲
存區詳細資料。
n SSL 終止負載平衡器。請參閱負載平衡器和 SSL 終止。
一般而言,恰當簽署的憑證不需要匯入,因為任何 SSL 用戶端始終都可以驗證信任鏈結,甚至包括根信任
鏈結。較低層級的憑證 (企業 CA 或自我簽署) 由本機安全性團隊建立,無法透過這種方式檢查,您可以詢
問安全性團隊以獲得憑證匯入來源。
私人 (內部) 端點的憑證
私人網路上無法從公用網路連線且通常已建立專供 vCloud Director 元件 (如資料庫和 AMQP) 使用的端
點,可使用由企業 CA 簽署的憑證,甚至使用自我簽署的憑證 (如有必要)。這些端點包含:
n vSphere 和 NSX 的內部連線。
n 連線 vCloud Director 和 RabbitMQ 的 AMQP 端點。
n PostgreSQL 資料庫連線 (選擇性)。
具備已簽署的憑證可減少管理以取得私人網路存取權的惡意應用程式偽裝成合法 vCloud Director 元件的機
會。
vCloud Director 安全性
VMware, Inc. 16
支援的通訊協定和加密套件
vCloud Director 支援數個 HTTPS 通訊協定,包括 TLS 及 SSL。TLS v1.0 預設不受支援,因為它具有已
知漏洞。安裝後,您可以使用儲存格管理工具來設定系統支援 HTTPS 連線的一組通訊協定和加密套件。
如需詳細資料,請參閱 《vCloud Director 版本說明》。
設定 vSphere 憑證
在 vSphere 6.0 及更新版本中,VMware Certificate Authority (VMCA) 預設會使用由 VMCA 簽署的憑證佈
建每台 ESXi 主機及每個 vCenter Server 服務。您可以用新的 VMCA 簽署的憑證取代現有憑證,使 VMCA 做為下層授權機構,或使用自訂憑證取代所有憑證。如需有關建立和取代 vCenter 及 ESXi 所使用的憑證
的詳細資訊,請參閱《vSphere 安全性》指南中的〈vSphere 安全性憑證〉。
設定 vCloud Director 以檢查 vCenter 憑證
若要設定 vCloud Director 以檢查 vCenter 憑證,請採用 JCEKS 格式建立包含用來簽署 vCenter 憑證之受
信任憑證的 Java 金鑰儲存區。(個別 vCenter 伺服器的憑證不在此存放區中 - 只有用來簽署的 CA 憑證。)
類似下列內容的命令會將 PEM 編碼的憑證從 /tmp/cacert.pem 匯入名為 myca.ks 的金鑰儲存區:
$ keytool -import -alias default -keystore myca.ks -file /tmp/cacert.pem -storepass password -
storetype JCEKS
類似下列內容的命令會將另一個憑證 (此範例中的 /tmp/cacert2.pem) 新增到同一個金鑰儲存區:
$ keytool -importcert-keystore myca.ks -storepass password -file /tmp/cacert2.pem -storetype JCEKS
建立金鑰儲存區後,以系統管理員身分登入 vCloud Director。在管理索引標籤的系統設定區段中,按一下
一般,然後導覽至頁面底部。
選取驗證 vCenter 和 vSphere SSO 憑證和驗證 NSX Manager 憑證。按一下瀏覽按鈕來搜尋 Java 金鑰
儲存區,然後按一下開啟。輸入金鑰儲存區密碼,然後按一下套用。
當作業完成後,受信任的憑證和其他資訊將上傳至 vCloud Director 資料庫。因此,只需對所有儲存格執行
一次此操作。
一旦此選項開啟,所有 vCenter 和 NSX Manager 憑證都會檢查,因此每個 vCenter 和 NSX Manager 必須
具有正確的憑證鏈結以及符合其 FQDN 的憑證。若非如此,vCenter 和 NSX 連線將會失敗。
重要 如果在新增 vCenter 和 NSX Manager 至 vCloud Director 後變更了憑證,您必須強制重新連線至伺
服器。
更新 vCloud Director 儲存格的憑證和金鑰
每台 vCloud Director 伺服器均要求 Java keystore 檔案中的兩個 SSL 憑證,其中一個用於 HTTP 服務,另
一個用於主控台 Proxy 服務。當您安裝 vCloud Director 時,必須提供這些金鑰儲存區的路徑名稱。已簽署
憑證是信任等級 高的憑證。
vCloud Director 安全性
VMware, Inc. 17
儲存格管理工具的 certificates 命令將自動執行以新憑證取代現有憑證的程序。使用 certificates 命令
將自我簽署憑證取代為已簽署憑證,或以新憑證來取代到期憑證。若要建立包含已簽署憑證的 JCEKS 金鑰
儲存區,請參閱 《vCloud Director 安裝與升級指南》中的〈建立與匯入已簽署 SSL 憑證〉。
若要取代一或兩個端點的 SSL 憑證,請使用以下格式的命令:
cell-management-toolcertificatesoptions
如需詳細資訊,請參閱 《vCloud Director 管理員指南》中的〈取代 HTTP 和主控台 Proxy 端點的憑證〉。
防火牆
vCloud Director 儲存格必須可供通常從服務提供者的網路範圍以外進行連線的承租人和系統管理員存取。
讓 vCloud Director 服務可供外部使用的建議方法是,將 Web 應用程式防火牆放置在網際網路 (或其他企業
網路) 和每個 vCloud Director 公用端點之間。
網路防火牆區段實體和/或虛擬網路,只能讓特定連接埠和通訊協定上一組明確定義的有限流量在此之間傳
遞。本文件一般不會定義防火牆部署理念或涵蓋防火牆設定的詳細資料。這些主題不在本指南討論範圍
內。相反,本指南可識別相對於 vCloud Director 部署的其他元件而建議的網路防火牆放置位置。
備註 管理連線可透過網路中的 IP 位址限制或每個承租人 VPN 進一步限制。此保護層級可能適用於某些
部署,但這不在本文件討論範圍內。
雖然 vCloud Director 儲存格位於 DMZ 中,對所需服務的存取權也應該由網路防火牆居中協調。具體來
說,建議將 vCloud Director 資料庫、vCenter Server、ESXi 主機、AMQP 和任何備份或類似服務的存取
權限制為無法從防火牆的公開端連線的內部網路。如需該防火牆中必須開啟的連接埠清單,請參閱網路安
全性需求。
封鎖惡意流量
建議使用多個防火牆規則來保護系統免遭網路威脅:
n 捨棄可能來自不可路由的位址 (IP 詐騙) 的封包
n 捨棄格式錯誤的 TCP 封包
n 限制要求率,尤其是 SYN 要求率,以抵禦 SYN 洪水攻擊 (嘗試拒絕服務)
n 請考慮拒絕並非源自傳入要求之防火牆的輸出流量
這些規則及其他規則通常由 Web 應用程式防火牆套用,且可能預設由選擇進行部署的網路防火牆套用。如
需特定的組態指示和預設功能,請參閱防火牆的說明文件。
負載平衡器和 SSL 終止
您應該透過 Web 應用程式防火牆 (WAF) 保護 vCloud Director 公用端點。與負載平衡器搭配使用時,將
WAF 設定為允許透過在 WAF 中終止 HTTPS 連線來檢查和封鎖惡意流量,從而讓 WAF 能夠使用其自己的
憑證完成信號交換,並將可接受的要求轉送到具有 X-Forwarded-For 標頭的儲存格。
vCloud Director 安全性
VMware, Inc. 18
必須對 HTTPS 端點提出 vCloud Director 的用戶端要求。(與儲存格的 HTTP 連線受支援,但並不安全)。即使透過 HTTPS 保護遠端用戶端與 WAF 之間的通訊安全,還需要透過 HTTPS 完成 WAF 至儲存格的通
訊。
以下簡易圖表忽略了負載平衡器,說明使用 TLS 或 SSL 終止時存在的兩個 TLS 或 SSL 連線,一個是使用
者電腦與 WAF 之間的連線,一個是防火牆與 vCloud Director 儲存格之間的連線。
圖 5-1. 使用 WAF 的 TLS/SSL 組態
TLS/SSL 終止和憑證
設定 TLS 或 SSL 終止時,不僅在 WAF 中安裝 CA 簽署憑證,以便 vCloud API 和 Web 主控台等用戶端應
用程式均可確保識別伺服器身分,還要使用儲存格上的 CA 簽署憑證 (儘管只有 WAF 可見),這一點非常重
要。即使 WAF 接受,自我簽署的憑證也只有在部署期間手動接受每個憑證時才適用;但是,這限制了
vCloud Director 伺服器群組的彈性,因為每個儲存格都必須手動設定 (並在憑證更新時重新設定)。
後,如果負載平衡器獨立於 WAF 之外,它也應該使用 CA 簽署憑證。《vCloud Director 管理員指南》
中的〈自訂公用端點〉中記錄了為負載平衡器端點新增憑證鏈結路徑的程序。
X-Forwarded-For 標頭
X-Forwarded-For 是廣泛使用的由多個 Proxy 和防火牆支援的標頭。建議您允許在防火牆產生此標頭 (如有
可能)。
當防火牆位於儲存格的前方時,儲存格可能會查詢用戶端的 IP 位址以進行記錄;但是,一般會取得防火牆
的位址。然而,如果 X-Forwarded-For 標頭存在於儲存格接收的要求中,它會記錄此位址做為用戶端位
址,並記錄防火牆位址做為記錄中的獨立 proxyAddress 欄位。
保護 AMQP (RabbitMQ) 安全
AMQP (進階訊息佇列通訊協定) 是訊息佇列的開放標準,可支援企業系統的彈性傳訊。vCloud Director 使用 RabbitMQ AMQP Broker 來提供延伸服務、物件延伸和封鎖工作通知所使用的訊息匯流排。
發佈至 RabbitMQ 的訊息包含敏感資訊。在 vCloud Director 儲存格之間公開 AMQP 流量會對系統及其承
租人形成安全性威脅。AMQP 端點應設定為使用 SSL。應該在系統防火牆中封鎖 AMQP 連接埠。必須允
許耗用 AMQP 訊息的第三方用戶端在 DMZ 中運作。耗用 vCloud Director 訊息的任何代碼都應受到服務提
供者的安全性團隊稽核。
vCloud Director 安全性
VMware, Inc. 19
如需有關 RabbitMQ 及其如何與 vCloud Director 搭配運作的詳細資訊,請參閱 https://blogs.vmware.com/vcat/2015/08/vcloud-director-for-service-providers-vcd-sp-and-rabbitmq-security.html 中的 vCat-SP 部落
格項目
使用 SSL 保護 AMQP 服務
若要使用 SSL 與 vCloud Director AMQP 服務搭配,請在 vCloud Director Web 主控台的擴充性頁面的
AMQP Broker 設定區段上選取使用 SSL。
n SSL 憑證路徑名稱
n JCEKS 信任存放區路徑名稱、使用者名稱及密碼
請參閱 《vCloud Director 管理員指南》中的〈設定 AMQP Broker〉以取得完整程序。
重要 雖然接受所有憑證選項可用,但是當安全性存在隱患時不建議選取此項。接受所有憑證而不進行檢
查將為攔截式攻擊開闢一條道路。
在系統防火牆中封鎖 AMQP 連接埠
如網路安全性需求中所述,多個 AMQP 連接埠必須在管理網路上可供存取。不得從公用或企業網路存取任
何 AMQP 端點。
保護 Cassandra (虛擬機器度量資料庫) 安全
Cassandra 是一個開放原始碼資料庫,您可用於為可擴充的高效能解決方案提供支援存放區,以收集時間
序列資料,例如虛擬機器度量。傳送至 Cassandra 叢集並儲存於其中的資料可能比較敏感,應該受到保
護。
除了放置於專用管理網路上,還應該使用 SSL 保護您的 Cassandra 基礎結構。
啟用 Cassandra 用戶端到節點的加密
如需安裝 SSL 憑證和啟用加密的相關資訊,請參閱 Cassandra 用戶端到節點的加密頁面。
我們建議使用由已知 CA 簽署的憑證。執行此作業時,vCloud Director 中不需要其他任何組態。如果您使
用自我簽署的憑證,必須手動將其匯入至 vCloud Director。使用儲存格管理工具的 import-trusted-certificates 命令,如 《vCloud Director 管理員指南》的〈從外部服務匯入 SSL 憑證〉中所示
保護 JMX 存取安全
如 《vCloud Director 管理員指南》中所述,每個 vCloud Director 儲存格會透過 JMX 公開多個 MBean,
以用於伺服器運作管理與提供內部統計資料的存取權。由於此介面會公開執行系統的相關敏感資訊並影響
其作業,因此,務必嚴格控制 JMX 的存取權。
JMX 驗證
JMX 介面僅供 vCloud Director 系統管理員存取,該管理員必須使用用來存取 vCloud Director 的相同認證
向 JMX 驗證。此功能無法設定。
vCloud Director 安全性
VMware, Inc. 20
限制 JMX 的連線
由於 JMX 是僅用於系統管理員的管理介面,因此,沒有任何理由將其公開於 vCloud Director 的管理網路
之外。如果系統具有以獨佔方式指派用於管理的第三個 IP 位址,請將 JMX 直接繫結到此 IP 位址。依預
設,vCloud Director JMX 連接器會繫結到系統設定期間指定的主要 IP 位址。可透過在 /opt/vmware/vcloud-service-director/etc/global.properties 中插入下列內容覆寫此預設值:
vcloud.cell.ip.management=JMX 連接器應繫結的管理網路的 IP 或主機名稱
更安全的組態是將 JMX 連接器繫結到 localhost 位址:
vcloud.cell.ip.management=127.0.0.1
無論是否採用路由和防火牆裝置,指派給此管理網路和 JMX 連接埠 (預設值 = 8999) 的 IP 位址都不應允許
周遊網路邊界至網際網路或組織使用者。
透過 global.properties 中的此設定,可以僅從本機 vCloud Director 系統連線 JMX。無論網路的路由組
態為何,與 JMX 連接埠的外部連線都將失敗。
保護 JMX 通訊安全
如果 JMX 僅向 localhost 位址 (127.0.0.1) 公開,您可以透過使用 SSH 做為任意存取 JMX 的通道機制來
保護 JMX 通訊。
如果您的管理需求不允許使用此組態並且 JMX 必須公開於 vCloud Director 儲存格之外,應使用 HTTPS 保護 JMX,可透過設定下列環境變數來進行此設定:
# export VCLOUD_JAVA_OPTS="-Dcom.sun.management.jmxremote.ssl=true \
-Djavax.net.keyStore=pathTokeystore \
-Djavax.net.sll.keyStorePassword=password \
-Djavax.net.ssl.keyStoreType=storeType"
然後,您必須重新啟動 vCloud Director。
JMX 用戶端現在必須使用 HTTPS 進行連線,但它們必須具有 CA 憑證的存取權。例如,對於 jconsole,
應匯入 CA 憑證至將執行 jconsole 之機器上的金鑰儲存區。然後,透過下列命令列引數啟動 jconsole:
# jconsole -J-Djavax.net.ssl.trustStoreType=store type \
-J-Djavax.net.ssl.trustStore=pathTokeystore \
-J-Djavax.net.ssl.trustStorePassword=password
自我簽署的憑證 (不建議用於生產部署) 會使此程序難以操作,因此您需要執行 JMX 用戶端之機器上的金鑰
儲存區中的每個自我簽署憑證。此處 CA 簽署憑證可以更輕鬆地支援,因為 JMX 用戶端機器中只需要 CA 憑證。
管理網路組態
vCloud Director 管理網路是充當雲端基礎結構的私人網路,並為用戶端系統提供可用於在 vCloud Director 上執行管理功能的存取權。
vCloud Director 安全性
VMware, Inc. 21
連線至管理網路的系統包含 vCloud Director 資料庫伺服器、用於傳輸儲存的 NFS 伺服器、vCenter Server、用於驗證提供者管理員的選擇性 LDAPv3 目錄、由提供者維護以驗證組織使用者的任何 LDAPv3 目錄,以及 NSX Manager。此網路上的 vCenter Server 還需要存取自己的 Active Directory 伺服器。
虛擬基礎結構管理網路組態需求
管理網路獨立於虛擬機器資料網路是十分重要的。尤其是在提供者和承租人來自不同組織的雲端環境中更
為重要。您會不想開啟提供者的管理網路以從組織的 vApp 進行攻擊。同樣地,管理網路必須獨立於為組
織管理員提供存取權的 DMZ。即使可能會與提供者系統管理員存取相同的介面,但 DMZ 概念在區分公用
與私人流量以及提供深度防禦方面十分重要。
從實體連線的角度來看,虛擬機器資料網路必須獨立於管理網路。這是保護管理系統防範惡意虛擬機器的
唯一方法。同樣地,vCloud Director 儲存格實際存在於 DMZ 中。在實體部署圖中,連線到雲端網繭的管
理網繭中的伺服器會透過單獨的實體網路執行此操作,並且特定防火牆規則允許此流量通過。
從網路架構的角度來看,需要可居中協調 vCenter 和 vCloud Director 與 vSphere (及其他網路) 的連線的內
部防火牆。這不是關於單一主機上的不同虛擬機器是否可以同時連線至 DMZ 和私人網路的問題。而是,該
管理網繭中有虛擬機器 (即雲端儲存格) 自行連線到這兩個網路。雖然 vCloud Director 軟體按照 VMware 產品安全性原則並在考量安全性需求的情況下設計和實作,但這並非防火牆本身,因此不應自行居中協調
DMZ 和私人管理網路之間的流量。這是防火牆的角色。
其他相關網路
如實體和邏輯部署圖所示,儲存區網路實際上也是獨立的。這遵循了 vSphere 佳做法,可保護承租人和
提供者儲存區防範惡意虛擬機器。上述情況也適用於備份網路。在技術方面,這是管理網路的分支。其特
定需求和組態取決於使用中的備份軟體與組態。
vMotion 並非始終放置在獨立於管理網路的單獨網路中;但是,在雲端中,從職責分離的角度來看,這一點
很重要。vMotion 通常以明文形式執行,如果置於管理網路中,可讓具有該網路存取權的提供者管理員或其
他使用者「嗅探」vMotion 流量,這違反了組織隱私權。基於此原因,您應該為雲端工作負載的 vMotion 建立單獨的實體網路。
稽核與記錄
能夠記錄和監控使用者活動是整體系統安全性的重要部分。大多數組織擁有制約誰可以存取並對軟體和相
關硬體資源做出變更的規則。維護重要活動的稽核記錄可讓組織確認是否符合規則、偵測任何違規,並起
始修復活動。某些企業遵循外部法律和法規,必須對存取和授權規則進行持續監控和驗證。
稽核記錄也可以協助偵測取得系統非法存取權的嘗試是否成功、探查其資訊或中斷其作業。瞭解已嘗試的
攻擊以及嘗試的詳細資料有助於減少損失,並防止未來的攻擊。
無論是否需要, 好始終定期檢查記錄是否有可疑、異常或未經授權的活動以確保安全性。例行記錄分析
也將協助您識別系統錯誤組態和失敗,並協助確保符合 SLA。
vCloud Director 安全性
VMware, Inc. 22
vCloud Director 包含兩種類型的記錄:
診斷記錄 每個儲存格的記錄目錄中保留的診斷記錄。這些記錄有助於解決問題,但不
適用於保留重大系統互動的稽核線索。每個 vCloud Director 儲存格會建立數
個診斷記錄檔,如 《vCloud Director 管理員指南》中的〈檢視 vCloud Director 記錄〉所述。
稽核記錄 稽核記錄可記錄大量動作,包括登入和登出。系統稽核記錄保留在 vCloud Director 資料庫中,並可透過 Web UI 進行監控。每個組織管理員和系統管
理員都可以檢視適用於其特定控制區域的記錄。
我們建議使用 syslog 公用程式來保留這些內容及其他 vCloud Director 記錄。此外,您應考慮使用
vRealize Log Insight,此產品支援遠端收集其他記錄,例如要求記錄 (不以 log4j 為基礎)。
搭配使用 Syslog 與 vCloud Director如 《vCloud Director 安裝與升級指南》中所述,可以在安裝期間設定 syslog 伺服器。基於多個原因,建
議將記錄匯出至 syslog 伺服器:
n 資料庫記錄在 90 天後不予保留,而透過 syslog 傳輸的記錄可視需要長時間保留。
n 可同時在一個中央位置檢視所有儲存格中的稽核記錄。
n 可避免因故障、缺少磁碟空間、損壞等導致本機系統上的稽核記錄遺失。
n 支援在面臨類似上述問題時執行鑑識作業。
n 此方法可供許多記錄管理及安全性資訊和事件管理 (SIEM) 系統與 vCloud Director 整合。這允許:
n 將 vCloud Director、vSphere、NSX,甚至堆疊的實體硬體層之間的事件與活動建立關聯。
n 將雲端安全作業與雲端提供者或企業的其餘安全作業整合,以跨越實體、虛擬和雲端基礎結構。
n 登入儲存格部署所在系統以外的遠端系統可阻止竄改記錄。儲存格損壞不一定會啟用稽核記錄資訊的存
取或更改。
如果您在初始安裝時未設定用於記錄的 syslog 目的地,您可以稍後移至每個儲存格、編輯
$VCLOUD_HOME/etc/global.properties 檔案,並重新啟動儲存格來進行設定。
如需從 vCloud Director 主機到 syslog 伺服器必須保持開啟的連接埠清單,請參閱網路安全性需求。
syslog 伺服器組態詳細資料因系統而異,不在本文件討論範圍內。建議為 syslog 伺服器設定備援,以確
保始終記錄關鍵事件。
上述討論僅涵蓋傳送稽核記錄至 syslog 伺服器。安全作業與 IT 作業組織可能也會從集中式彙總及管理上
述診斷記錄中獲益。有多種方法可用於收集這些記錄,包括排程工作以定期將其複製到集中位置、將
log4j.properties 檔案 ($VCLOUD_HOME/etc/log4j.properties) 中的其他記錄器設定為中央 Syslog 伺服器,或使用 vRealize Log Insight 等記錄收集公用程式來監控記錄檔並將其複製到集中位置。這些選項
的組態視您環境中偏好使用的系統而定,不在本文件討論範圍內。
重要 我們建議使用已啟用 TLS 的 syslog 基礎結構。預設 (UDP) syslog 通訊協定既不提供傳輸中加
密,也不提供傳輸控制/確認。缺少加密會向嗅探公開記錄資料 (記錄中存在的資訊可用來啟動進一步攻
擊),而缺少傳輸控制會讓攻擊者竄改記錄資料。如需詳細資訊,請參閱 RFC 5426 的第 4 節。
vCloud Director 安全性
VMware, Inc. 23
診斷記錄和記錄變換
Jetty 要求記錄檔 ($VCLOUD_HOME/logs/yyyy_mm_dd.request.log) 以程式設計方式受 Jetty (HTTP) 伺服器控制,但未提供大小上限。基於此原因,無限制的記錄檔增長存在風險。針對 Jetty 提出的每個 HTTP 要求,將記錄項目新增至目前檔案。基於此原因,我們建議使用 logrotate 或類似方法,來控制記錄大小
和要保留的舊記錄檔數目。
其他診斷記錄檔限制為總計 400 MB。確保您具有足夠的可用磁碟空間,以容納這些檔案並允許 Jetty 要求
記錄耗用。如上所述,集中式記錄可確保您不會遺失重要的診斷資訊,因為達到總計 400 MB 記錄檔時,
檔案會被輪替和刪除。
NTP 和記錄
《vCloud Director 安裝與升級指南》將 NTP 認定為所有 vCloud Director 儲存格的需求。使用 NTP 的附帶
好處是所有儲存格的記錄訊息都具有同步的時間戳記。當然,記錄管理工具和 SIEM 系統會納入其自己的
時間戳記以協助協調多個來源的記錄,但這些時間戳記是這些系統接收的時間,而不是 初記錄事件的時
間。
其他記錄
連線到 vCloud Director 並供其使用的其他系統會建立應整併至稽核程序的稽核記錄。包括來自 NSX Manager、vCloud Director 資料庫、vCenter Server 和 vSphere 主機的記錄。每個系統的記錄檔及其用途
的詳細資料不在本文件討論範圍內,可在這些產品的相關說明文件中找到。
vCloud Director 安全性
VMware, Inc. 24
承租人安全性 6服務提供者、系統管理員與組織管理員負責每個 vCloud Director 承租人組織的安全性。
保護 vCloud Director 承租人組織免受外部攻擊是提供良好的系統層級安全性,以避免外部攻擊者存取承租
人資源的關鍵。服務提供者還必須注意某個承租人可能會攻擊或僅干擾另一個承租人。潛在承租人間的攻
擊向量包括窺探計算、儲存和網路資源的系統層級詳細資料。當系統資源在承租人 (可能互相懷疑) 之間共
用時會產生干擾 (無論是否故意),一個承租人會管理以耗用足夠的資源以拒絕其他承租人的預期服務層
級。這種情況通常稱為「雜訊芳鄰」問題。
如第 3 章 vCloud Director 架構和安全性功能 中所述,vCloud Director 設計為在大量承租人之間啟用透明
共用系統資源。一般而言,服務提供者可透過將系統效率 大化,同時儘量減少停機時間的方式自由部署
系統資源。每當資源在承租人組織之間共用時,服務提供者都應考慮此類共用會如何影響各項承租人作
業,以及是否會啟用承租人間的攻擊。
本章節討論下列主題:
n 承租人組織的網路安全性
n 資源配置和隔離
n 使用者帳戶管理
承租人組織的網路安全性
雖然 vCloud Director 組織負責自己的網路安全性,但服務提供者應透過防火牆保護外部網路。
在 vCloud Director 系統內,VXLAN 和 VLAN 網路會強制分隔封包流量,使用單獨的實體網路也可以實現
此目的。此外,還提供一系列路由和防火牆選項,讓組織能夠更為精細地控制對外部系統中的工作負載和
組織內的工作負載的存取權。這些功能會在 vCloud Director 說明文件中詳述,網址為 http://docs.vmware.com。在大多數情況下,已為系統本身設計有效保護 (包括 Web 應用程式防火牆、SSL 終止
負載平衡器和恰當簽署的數位憑證) 的服務提供者,不需要積極參與建立或維護組織 VDC 網路的安全性。
VMware, Inc. 25
承租人工作負載的外部存取權
設定從網際網路或企業網路存取組織工作負載 (vApp) 時,服務提供者應記住由 vCloud Director 部署及使
用的 vSphere 基礎結構的防火牆需求。某些 vApp 很可能需要存取網際網路或需要遠端存取,無論是透過
RDP、SSH 等 (用於管理),還是透過 HTTP 或其他通訊協定 (用於這些服務的使用者)。因此,建議使用兩
個不同的虛擬機器資料網路 (如資源配置和隔離的架構圖表中所示) 以用於不同的用途;分別需要網路防火
牆保護。
需要從雲端外部 (例如,從網際網路) 存取的虛擬機器將透過設定用於公開服務的連接埠轉送來連線至公用
網路或 NAT 路由的私人網路。這些組織 VDC 網路已連線的外部網路需要保護防火牆,以允許商定的流量
流向此 DMZ 網路。也就是說,服務提供者應確保並非每個連接埠和通訊協定都允許起始外部 DMZ 網路的
連線。同時,必須確保允許足夠的流量,以便組織的 vApp 可提供其適用的服務。這通常包含連接埠
80/TCP 和 443/TCP,但可能包含其他連接埠和通訊協定。服務提供者必須決定保持平衡的 佳做法,瞭
解從安全性的角度來看,應封鎖不必要的連接埠和通訊協定。
一般而言,建議將需要網際網路存取權的 vApp 連線至路由的組織 VDC 網路,該網路設定為僅允許所需的
輸入和輸出連線類型。這可讓組織控制 NSX 防火牆和連接埠轉送規則。此類組態並沒有消除網路防火牆分
隔這些組織 VDC 網路所使用的外部網路的需要;這是因為公用組織 VDC 網路沒有任何 vCloud Director 防火牆保護。需要使用個別防火牆來建立 DMZ (但是,此功能可能由個別 NSX Edge 執行個體執行)。
同樣地,私人 NAT 路由的組織 VDC 網路可用於虛擬機器資料網路,以允許虛擬機器存取網際網路。如上
所述,NSX Edge 針對此內部虛擬機器資料網路提供 NAT 和防火牆功能。同樣地,此路由網路的外部網路
部分應位於 DMZ 中,以便個別網路防火牆將 DMZ 與網際網路連線本身分隔開來。
資源配置和隔離
vCloud Director 的標準服務提供者部署假設在多個承租人組織之間共用 vSphere 資源。這可為組織提供
大的彈性,並讓提供者 大化利用佈建的計算、網路和儲存資源。範例邏輯和實體部署圖如下。
此子章節的其餘部分說明高層級的元件,而後續子章節說明有關資源集區、資料存放區、網路和其他元件
的組態的特定建議。
共用資源部署
圖 6-1. 實體部署圖 和圖 6-2. 邏輯部署圖 是相同 vCloud Director 安裝的兩種視圖。在下圖中,我們使用
「網繭」一詞來表示一組資源 (實體或虛擬機器),專用於系統管理 (「管理網繭」) 或承租人工作負載 (「雲
端網繭」)。
vCloud Director 安全性
VMware, Inc. 26
圖 6-1. 實體部署圖
看一下圖 6-2. 邏輯部署圖,左側顯示負載平衡的 DMZ 中的 vCloud Director 儲存格。DMZ 還包含 WAF 和每個承租人的管理 VPN (選擇性)。此 VPN 可由服務提供者針對每個組織設定,以更嚴格地限制哪些使用
者和 IP 位址可存取透過 WAF 公開的服務。此外,承租人還可以設定 VPN,以透過雲端中的虛擬機器連線
其內部部署工作負載和資料。設定此類 VPN 不在本文件討論範圍內。
vCloud Director 安全性
VMware, Inc. 27
圖 6-2. 邏輯部署圖
儲存格後方是 vCloud Director 所需的私人管理元素,包括 vCenter、NSX、vCloud Director 資料庫等。其
連線受到圖中防火牆的嚴格控制,因為這些服務不得從 DMZ 中的其他電腦或直接從網際網路存取。
圖圖 6-3. 管理網繭網路 僅重點介紹管理網繭。顯示需要至少兩個 (若非三個) 連線至該網繭的單獨實體網
路。其中包括負載平衡的 DMZ 網路、私人管理網路和具有提供者特定組態的選擇性專用儲存區網路。
vCloud Director 安全性
VMware, Inc. 28
圖 6-3. 管理網繭網路
對於 vSphere 主機而言,它們分為多個不同的安全性網域,分別具有公開做為虛擬機器 DMZ 資料網路的
外部網路 (用於公用組織 VDC 網路),以及適用於可能路由至外部網路之私人組織 VDC 網路的虛擬機器資
料網路。
圖圖 6-4. 雲端網繭網路 重點介紹雲端網繭。它會顯示四個實體網路;但是,儲存區網路專屬於所選的特定
硬體和儲存技術。如果資源集區未跨越叢集,您可能不需要提供實體虛擬機器資料網路。否則 (如果資源集
區跨越叢集),本文件建議針對 vMotion 流量使用單獨的實體網路。
圖 6-4. 雲端網繭網路
同時假設一般資料中心安全技術,例如 IDS/IPS、SIEM、組態管理、修補程式管理、漏洞管理、防毒和
GRC 管理系統,將會套用至 vCloud Director 及其相關聯的系統、vSphere 及其相關聯的系統,以及支援
的網路與儲存區基礎結構。這些系統的相關詳細資料也不在本文件討論範圍內。
資源共用和隔離建議
在正常條件下,服務提供者可在多個承租人組織之間共用計算、儲存和網路資源。系統會透過抽象、
Hypervisor 中的安全工程做法以及 vCloud Director 軟體堆疊強制執行隔離。
承租人組織共用基礎資源集區、資料存放區,以及透過單一提供者 VDC 公開的外部網路,而不會影響 (甚至留意) 不屬於自己的資源。適當管理 vApp 儲存區和執行階段租用、vApp 配額、資源密集型作業的限制
和組織 VDC 配置模型,可確保某個承租人無法偶然或故意拒絕為另一個承租人提供服務。例如,非常保守
的組態會根據保留集區配置模型設定所有組織 VDC,並且永遠不會過度認可資源。本文件中未涵蓋選項的
完整補充;但是在下列子章節中提到了幾點。
vCloud Director 安全性
VMware, Inc. 29
安全性網域和提供者 VDC儘管已在軟體中進行適當隔離並具有適當的組織組態,承租人組織有時仍然不希望在特定計算、網路或儲
存資源上執行或儲存不同的工作負載。這不會將整體系統提升到「高安全性環境」(其討論不在本文件範圍
內),但必須將雲端劃分為多個安全性網域。需要此類處理的特定工作負載範例包括:
n 遵循隱私權法的資料,需要在規定的地理位置中儲存和處理資料。
n 儘管信任雲端隔離,但從謹慎和深度防禦的角度來看,國家/地區或組織所擁有的資料和資源仍要求其
VDC 不與其他特定承租人 (例如競爭公司) 共用資源。
在上述和其他案例中,資源集區、網路和資料存放區應使用不同的提供者 VDC 劃分為不同「安全性網
域」,其中具有類似考量的 vApp 可分組在一起 (或隔離)。例如,您可以在某些國家/地區儲存和處理資料
時明確識別特定提供者 VDC。
資源集區
在單一提供者 VDC 中,您可以擁有多個資源集區,以彙總基礎 vSphere 基礎結構提供的 CPU 和記憶體資
源。從機密性和完整性的角度來看,不需要跨越不同資源集區分割不同的組織。但從可用性角度來看,這
麼做是有一定原因的。此資源管理問題取決於組織 VDC 配置模型、預期工作負載、套用到這些組織的配額
和限制,以及提供者將其他計算資源上線的速度。本指南未定義不同的資源配置模型及其對每個組織使用
資源集區的影響,除了指示每當您允許過度認可供多個組織使用之集區中的資源時,都會遭受導致一或多
個組織的服務品質降低的風險。為了避免某個組織所造成的拒絕服務,必須適當監控服務層級,但安全性
無需要求特定的組織劃分即可滿足此目標。
限制共用資源的共用耗用
在預設組態中,許多 vCloud Director 計算和儲存資源可以不限量地供所有承租人耗用。系統提供了多種方
式,可讓系統管理員管理和監控這些資源的耗用情況。務必仔細檢查下列區域,以防止「雜訊芳鄰」影響
vCloud Director 所提供的服務層級。
限制資源密集型作業 請參閱 《vCloud Director 管理員指南》中的〈設定系統限制〉。
施加合理配額 請參閱 《vCloud Director 管理員指南》中的〈設定組織租用、配額及限制設
定〉和〈設定系統限制〉(限制承租人可建立的 VDC 數目並限制每個虛擬機
器的同時連線數目)。
管理儲存區和執行階段租
用
租用可為儲存與計算資源的承租人耗用提供一層控制。限制 vApp 可保持開
啟電源或已關閉電源的 vApp 可耗用儲存區的時間長度,是管理共用資源的
必要步驟。請參閱 《vCloud Director 管理員指南》中的〈瞭解租用〉。
外部網路
服務提供者建立外部網路,並使其可供承租人存取。可以安全地在多個公用網路之間共用外部網路,因為
按照定義這些網路是公用的。應提醒承租人外部網路上的流量會遭到攔截,因此,應針對這些網路採用應
用程式層級或傳輸層級的安全性以實現所需的機密性和完整性。
路由的私人網路可以在相同的情況下共用這些外部網路,即用於連線至公用網路時。有時,組織 VDC 網路
可能會使用外部網路連線兩個不同的 vApp 及其網路,或將 vApp 網路重新連線至企業資料中心。在這些情
況下,外部網路不應在組織之間共用。
vCloud Director 安全性
VMware, Inc. 30
當然,無法期望每個組織分別有單獨的實體網路。相反,建議將共用實體網路連線至明確識別為 DMZ 網路
的單一外部網路。因此,組織會知道它並不提供機密性保護。對於周遊外部網路但需要機密性保護的通訊
(例如,vApp 至企業資料中心連線或透過公用網路的 vApp 至 vApp 橋接),可能會部署 VPN。其原因是為
了讓路由的私人網路上的 vApp 可以連線,必須透過該外部網路上可路由的 IP 位址來利用 IP 位址轉送。
連線至該實體網路的任何其他 vApp 可以將封包傳送到該 vApp,即使是其他組織連線到另一個外部網路亦
是如此。若要避免這種情況,服務提供者可以使用 NSX 分散式防火牆和分散式邏輯路由,強制分隔單一外
部網路上來自多個承租人的流量。請參閱《VMware vCloud® Architecture Toolkit™ for Service Providers》(vCAT-SP) 中的〈NSX 分散式防火牆與邏輯路由〉。
不同承租人所擁有的組織 VDC 網路可以共用相同的外部網路 (做為來自 Edge 閘道的上行),只要其不允許
透過 NAT 和 IP 偽裝存取內部。
重要 vCloud Director 進階網路可讓承租人與服務提供者採用動態路由通訊協定,例如 OSPF。如果在未
驗證的情況下使用 OSPF 自動探索機制,可能會在屬於不同承租人的 Edge 閘道之間建立對等關係,並開
始交換路由。若要避免這種情況,請不要在公用共用介面上啟用 OSPF,除非您同時啟用 OSPF 驗證以防
止與未經驗證的 Edge 閘道實現對等。
網路集區
單一網路集區可供多個承租人使用,只要集區中的所有網路均適當隔離即可。VXLAN 支援的網路集區 (預設值) 依賴設定為允許在 VXLAN 內進行連線以及在不同 VXLAN 之間隔離的實體和虛擬交換器。對於連接
埠群組支援的網路集區,必須將連接埠群組設定為彼此隔離。這些連接埠群組實際上可能會透過 VXLAN 隔離。
對於其中三種類型的網路集區 (連接埠群組、VLAN 和 VXLAN),共用 vCloud Director VXLAN 網路集區是
輕鬆的。VXLAN 集區支援的網路遠多於 VLAN 或連接埠群組支援的網路集區,並且會在 vSphere 核心
層級強制執行隔離。雖然實體交換器在未使用 VXLAN 的情況下不會隔離流量,但 VXLAN 亦不容易在硬體
層出現錯誤組態。從上述內容重新叫用,任何網路集區中的網路均不會為攔截的封包提供機密性保護 (例如,在實體層)。
儲存區設定檔
vCloud Director 儲存區設定檔透過某種方式彙總資料存放區,讓服務提供者能夠提供按容量、效能和其他
屬性分層的儲存區功能。承租人組織無法存取個別資料存放區。但是,承租人可以從服務提供者所提供的
一組儲存區設定檔中進行選擇。如果基礎資料存放區設定為只能從 vSphere 管理網路進行存取,則共用資
料存放區的風險僅限於可用性 (與計算資源一樣)。某個組織可能 終使用超出預期數目的儲存區,進而限
制了可供其他組織使用的儲存區數目。特別是使用隨收隨付配置模型和預設「無限制的儲存區」設定的組
織。基於此原因,如果您共用資料存放區,應設定儲存區限制、啟用精簡佈建 (如有可能),並仔細監控儲
存區使用量。同時應該謹慎管理儲存區租用,如限制共用資源的共用耗用中所註明。或者,如果您不共用
資料存放區,則必須正確指定您提供給每個組織的儲存區設定檔的專用儲存區,若配置給不需要的組織則
可能會浪費儲存區。
vSphere 資料存放區物件是儲存 VMDK 的邏輯磁碟區。雖然 vSphere 管理員可以看到從中建立這些資料存
放區的實體儲存區系統,但需要 vCloud Director 管理員或承租人無法使用的權限。建立和上傳 vApp 的承
租人使用者只需將 vApp 的 VMDK 儲存在所使用組織 VDC 的其中一個可用儲存區設定檔中。
vCloud Director 安全性
VMware, Inc. 31
基於此原因,虛擬機器永遠不會看到其 VMDK 所耗用儲存區之外的任何儲存區,除非它們與這些儲存區系
統之間具有網路連線。本指南不建議建立此連線;提供者可提供 vApp 之外部儲存區的存取權做為一項網
路服務,但它必須獨立於指派給支援雲端的 vSphere 主機的 LUN。
同樣地,承租人組織只能看到其組織 VDC 中的可用儲存區設定檔,即使該檢視僅限於 vCloud Director 抽象。無法瀏覽系統的資料存放區。只看到目錄中發佈的內容或所管理的 vApp 使用的內容。如果組織 VDC 儲存區設定檔不共用資料存放區,則組織無法影響彼此的儲存區 (除了可能透過針對 Storage I/O 使用過多
的網路頻寬)。即使這樣做,上述限制和抽象仍可確保在組織之間適當隔離。vCloud Director 管理員可在特
定資料存放區上啟用 vSphere Storage I/O Control,以限制承租人耗用過多 Storage I/O 頻寬的能力。請參
閱 《vCloud Director 管理員指南》中的〈在提供者 VDC 中設定 Storage I/O Control 支援〉。
使用者帳戶管理
管理使用者及其認證對於任何系統的安全性而言都非常重要。由於向 vCloud Director 系統進行驗證以及在
其中執行的所有驗證均透過使用者名稱和密碼進行,因此,請務必遵循管理使用者及其密碼的 佳做法。
本主題旨在定義在 vCloud Director 中管理使用者和密碼的功能與限制,並提供有關如何在考慮到這些限制
的情況下安全地管理和使用。
本機使用者帳戶的限制
雖然 vCloud Director 針對在 vCloud Director 資料庫中建立和維護的使用者帳戶提供獨立的身分識別提供
者,並且本身不容易在設定資料庫有限網路存取權的系統中受到攻擊 (請參閱管理網路組態),但這些帳戶
不提供特定產業 (例如 PCI 資料安全標準) 所需的密碼管理功能類型。為防止暴力破解攻擊,本機帳戶應遵
循密碼重試限制和帳戶鎖定規則。
服務提供者應謹慎權衡繼續使用系統管理員之本機帳戶的優點和風險,並且應謹慎控制在本機系統管理員
帳戶已設定的情況下,哪些來源 IP 位址可向組織的雲端 URL 驗證。強烈建議不要 (或至少限制) 將此身分
識別提供者用於系統管理員帳戶。
vCloud Director 的全新安裝會建立一個本機系統管理員帳戶。在預設組態中,vCloud Director 至少需要將
一個系統管理員帳戶保留為本機。啟用系統組織以使用 vSphere SSO 服務 (SAML IDP) 或 LDAP 的服務提
供者可透過執行下列步驟,將 vCloud Director 設定為不使用本機系統管理員帳戶即可運作:
1 在 vSphere SSO 服務 (SAML IDP) 或 LDAP 中,為您的系統管理員建立一或多個帳戶。
2 將這些帳戶匯入系統組織。
3 執行儲存格管理工具的 manage-config 命令,將系統重新設定為不需要任何本機系統管理員帳戶,並
且具有本機帳戶的系統管理員無法向系統進行驗證。
./cell-management-tool manage-config -n local.sysadmin.disabled -v true
請注意,這不會停用其他組織的本機帳戶。
備註 在沒有任何本機系統管理員帳戶的系統中,要求您指定系統管理員認證的儲存格管理工具命令必
須改用 -i --pid 選項,以在 pid 中提供儲存格的程序識別碼。請參閱 《vCloud Director 管理員指南》
中的〈儲存格管理工具參考〉。
vCloud Director 安全性
VMware, Inc. 32
4 您可以透過類似的儲存格管理工具命令列復原此變更,這會為具有本機帳戶的系統管理員重新啟用存取
權。
./cell-management-tool manage-config -n local.sysadmin.disabled -v false
密碼管理
大多數 LDAP、OAUTH 和 SAML IDP 可提供功能或與系統整合,以處理使用者忘記其密碼的情況。這些
內容不在本文件討論範圍內。vCloud Director 儲存格管理工具包含可用於復原遺失的系統管理員密碼的
recover-password 命令。vCloud Director 沒有原生功能可針對其他本機使用者處理這種情況。建議採用
經過您的 IT 安全部門核准的方式來安全地儲存所有本機帳戶密碼。某些組織會將密碼鎖定在保存庫中。其
他組織會使用商用或免費使用的密碼儲存程式。本文件不建議使用特定方法。
密碼強度
IDP 使用者的密碼強度視 IDP 和/或用來在目錄中管理使用者的工具所提供的控制項而定。例如,如果將
vCloud Director 連線到 Active Directory,則一般的 Active Directory 密碼長度、複雜性以及與 Microsoft Active Directory 相關聯的歷程記錄控制項將由目錄本身強制執行。其他 IDP 趨向於支援類似功能。密碼強
度控制項的詳細資料特定於目錄,且此處沒有詳細介紹。
vCloud Director 需要本機使用者具有長度必須至少為 6 個字元的密碼。該需求不可設定,並且其他密碼複
雜性或歷程記錄控制項均無法使用。建議任何使用者 (尤其是系統管理員和組織管理員),在選擇其密碼以
抵禦暴力破解攻擊時格外謹慎 (請參閱下列帳戶鎖定問題)。
使用者密碼保護
由 IDP 管理的使用者認證永遠不會儲存在 vCloud Director 資料庫中。將使用 IDP 所選擇的方法進行傳
輸。如需有關保護此資訊通道的詳細資訊,請參閱設定身分識別提供者 。
儲存於 vCloud Director 資料庫之前,本機使用者的密碼已進行 salt 和雜湊。無法從資料庫復原純文字密
碼。本機使用者將透過雜湊所呈現的密碼,並將其與資料庫中的密碼欄位內容比較來進行驗證。
其他密碼
除了本機使用者的認證以外,vCloud Director 資料庫還會儲存已連線的 vCenter Server 與 NSX Manager 的密碼。這些密碼的變更不會在系統中自動更新。您必須手動使用 vCloud Director 組態指令碼 (用於
vCloud Director 資料庫密碼) 或 vCenter 和 NSX 的 Web UI 進行變更。
vCloud Director 還會保留用於存取與其 TLS/SSL 憑證相關聯的私密金鑰的密碼,以及 vCloud Director 資料庫、vCenter Server 和 NSX Manager 伺服器的密碼 (如上所述)。這些密碼將使用每個 vCloud Director 安裝的唯一金鑰進行加密,並儲存在 $VCLOUD_HOME/etc/global.properties 檔案中。如安裝後保護敏
感檔案中所述,請謹慎保護任何包含該檔案的備份。
角色型存取控制
vCloud Director 實作角色型授權模式。本節討論 vCloud Director 中存在的不同身分識別來源、使用者類
型、驗證控制、角色和權限。需要瞭解此資訊才能正確地保護系統安全,並提供正確的存取權給適當的使
用者。
vCloud Director 安全性
VMware, Inc. 33
vCloud Director 承租人組織可包含任意數目的使用者與群組。使用者可由組織管理員在本機建立,也可以
從外部目錄服務 (LDAP) 或身分識別提供者 (OAUTH、SAML) 匯入。匯入的使用者可以是一或多個群組的
成員。做為多個群組成員的使用者將獲指派已指派給這些群組的所有角色。每個組織會建立一組預設權限
和一組預先定義的角色 (包含這些權限的組合)。系統管理員可以為組織授與其他權限,而組織管理員可以
使用這些權限來建立組織的本機自訂角色。組織內的權限是透過對使用者與群組指定的權限與角色來控
制。
未經驗證的使用者不允許透過 Web 主控台、承租人入口網站或 vCloud API 存取任何 vCloud Director 功能。每位使用者都會使用使用者名稱和密碼進行驗證。可全域設定以及按照每個組織設定密碼重試和帳戶
鎖定原則。
角色是對權限的分組,可為指派有該角色的使用者提供功能。預先定義的角色包括:
n 系統管理員
n 組織管理員
n 目錄作者
n vApp 作者
n vApp 使用者
n 僅限主控台存取
《vCloud Director 管理員指南》還會決定向每個角色分別指派哪些權限。本章節的目的是協助您為每種類
型的使用者選擇適當的角色。例如,vApp 使用者角色可能適用於需要開啟和關閉虛擬機器電源的管理員,
但如果他們還需要編輯指派給虛擬機器的記憶體數量,則 vApp 作者角色更為恰當。這些角色可能不具有
與您的承租人組織完全相關的權限集,因此組織管理員可以建立自訂角色。可組合使用哪些特定權限來建
立有用的自訂角色的說明不在本文件討論範圍內。
設定身分識別提供者
vCloud Director 承租人組織可定義與其他應用程式或企業共用的身分識別提供者。使用者向身分識別提供
者驗證以取得可用於登入組織的 Token。此類策略可讓企業透過一組認證提供對多個不相關服務 (包括
vCloud Director) 的存取權,此排列通常稱為單一登入。
關於身分識別提供者
vCloud Director 支援下列類型的身分識別提供者:
OAuth 組織可定義支援 OAuth 驗證的外部身分識別提供者,如 RFC 6749 中所定
義 (http://tools.ietf.org/html/rfc6749)。
SAML 組織可定義支援安全性聲明標記語言 (SAML) 2.0 標準的外部身分識別提供
者。
整合式 整合式身分識別提供者是一種 vCloud Director 服務,用於驗證在本機建立或
從 LDAP 匯入的使用者。
vCloud Director 安全性
VMware, Inc. 34
OAuth在任何 OAuth 實作中,大部分的安全性決定會在 OAuth 授權伺服器層發生。vCloud Director 採用資源伺
服器角色,這是 Token 的取用者,僅負責驗證 Token 的完整性。
若要保護您的 vCloud Director 工作階段和基礎敏感資產,OAuth 授權伺服器必須安全地進行設定並且安裝
其 新安全修補程式。
如果 OAuth 授權伺服器可以設定為將使用者重新導向至查詢參數所指定的任意 URL,必須設定 OAuth 授權伺服器以驗證 URL,從而防止攻擊者控制重新導向至第三方應用程式。如果可用,必須使用合法應用程
式的白名單進行驗證。
LDAPvCloud Director 整合式身分識別提供者支援數個常用 LDAP 服務。
如需支援的 LDAP 服務的清單,請參閱 《vCloud Director 版本說明》。
vCloud Director 可讓系統管理員定義可供所有承租人使用的全系統 LDAP 服務。承租人使用者帳戶將匯入
至指派了 vCloud Director 角色的 vCloud Director 資料庫。LDAP 使用者的密碼會在 LDAP 目錄中管理和
維護,並使用 LDAP 組態畫面中指定的設定對目錄進行驗證。LDAP 目錄的所有關於驗證和密碼的控制都
會保留,包括驗證失敗鎖定、密碼到期、歷程記錄、複雜性等,並且專屬於所選的 LDAP 服務。如果組織
設定為使用系統 LDAP,其使用者將會來自該組織的 vCloud Director 系統 LDAP 服務設定中專門設定的
OU。
雲端提供者可以選擇允許承租人組織使用系統 LDAP 中的 OU,或主控其自己的 LDAP 目錄服務。在任一
情況下,都必須提供該目錄的適當管理存取權,以便使用者可由組織管理員進行管理。缺少此類控制會給
系統管理員帶來額外負擔,並阻礙組織輕鬆且正確地控制其 VDC 的存取權。如果沒有此類管理控制,組織
只能使用其本身主控和管理的私人 LDAP 目錄。
為了讓軟體能夠正確驗證使用者,必須啟用從 vCloud Director 儲存格到系統 LDAP 伺服器和任何組織
LDAP 伺服器的連線。如本文件中的建議,系統 LDAP 伺服器必須位於私人管理網路上,由防火牆將其與
DMZ 分隔。某些雲端提供者和大多數 IT 組織將執行所需的任何組織 LDAP 伺服器,而這些伺服器也位於
私人網路 (而不是 DMZ) 上。組織 LDAP 伺服器的另一個選項是在雲端提供者環境之外主控和管理,且同
時受到組織的控制。在此情況下,必須向 vCloud Director 儲存格公開,可能透過企業資料中心自己的
DMZ。
在所有這些情況下,必須透過儲存格和 LDAP 伺服器之間路徑中的各種防火牆開啟適當的連接埠,如
LDAP over TLS/SSL 中所述。此外,組織主控其自己的 LDAP 伺服器時出現的問題是透過其 DMZ 公開。
此服務不需要可供一般大眾存取,因此應採取步驟將存取權限制為僅 vCloud Director 儲存格。執行此作業
的一個簡單方式是,將 LDAP 伺服器和/或外部防火牆設定為僅允許從屬於 vCloud Director 儲存格 (如雲端
提供者報告) 的 IP 位址進行存取。其他選項包括系統,例如連線這兩組系統的每個組織網站間 VPN、強化
LDAP Proxy 或虛擬目錄或其他選項,所有內容均不在本文件討論範圍內。
相反,雲端提供者應注意,由不懷好意的客戶管理的組織主控 LDAP 伺服器可用來攻擊其他組織。例如,
可能會假設某個組織要求組織名稱,此組織名稱是常拼錯的另一個組織的名稱,並在網路釣魚攻擊中使用
相似的登入 URL。提供者可採取步驟來防範此攻擊和類似承租人間的攻擊,方法是限制要求的來源 IP 位址
(如有可能) 以避免組織間的登入嘗試,並且確保指派的組織名稱絕不會彼此過於類似。
vCloud Director 安全性
VMware, Inc. 35
LDAP over TLS/SSL
強烈建議您為使用者驗證設定 LDAPv3 目錄。vCloud Director 必須設定為透過 SSL 連線至 LDAP 伺服
器,以適當地保護針對這些伺服器驗證的密碼。如需詳細資料,請參閱 《vCloud Director 管理員指南》中
的〈設定 LDAP 連線〉。 安全的 LDAP 組態會指定使用 SSL,並需要 LDAP 服務所提供的 SSL 憑證。
如果 LDAP 伺服器的簽署憑證無法使用,簽署 LDAP 伺服器憑證之 CA 的憑證必須匯入至系統或組織 JCE 金鑰儲存區 (JCEKS)。指定 JCEKS 金鑰儲存區的 LDAP 組態也是安全的,但是在大量 CA 憑證 (甚至是大
量特定的伺服器憑證) 受信任時,可能會發生錯誤組態。此外, 好選擇一個支援 Kerberos 驗證的 LDAP 提供者。
需要連線至 LDAP 伺服器。雖然純 (非 SSL) LDAP 透過連接埠 389/TCP 執行,但是,支援 LDAP over SSL 的伺服器預設會使用連接埠 636/TCP;不過,此連接埠也可以進行設定。請注意,vCloud Director 支援舊的 LDAP over SSL (LDAPS) 方法,並且不支援使用 StartTLS 命令在 LDAP 連線內交涉 TLS。
後,已啟用 LDAP 的目錄伺服器必須正確設定 SSL 憑證。其操作方法不在本文件討論範圍內。
匯入群組
將群組匯入 vCloud Director 的目的是避免手動匯入所有具有相同角色的個別使用者。當 LDAP 使用者登入
時,其工作階段將獲指派對應至其所屬群組的角色。由於使用者的群組成員資格根據其在組織內的職責變
更而變化,因此指派給這些使用者的角色會根據群組與角色的對應自動變更。這可讓組織能夠輕鬆地整合
雲端角色與內部組織群組/角色以及佈建和管理它們的系統。
例如,組織可能會決定 初授與 LDAP 使用者「僅限主控台存取」角色,以限制使用者的權限。若要這麼
做,需要此基本角色的所有使用者都會新增至單一 LDAP 群組,並且在匯入該群組時,組織管理員將為其
指派「僅限主控台存取」角色。然後,需要執行其他工作職責的這些使用者可能會新增至其他 LDAP 群組,同時匯入至 vCloud Director 並獲指派權限更高的角色。例如,需要建立目錄的使用者會新增至組織的
LDAP 伺服器中的「組織 A 目錄作者」群組。然後,組織 A 的組織管理員將匯入「組織 A 目錄作者」群
組,並將其對應到 vCloud Director 中預先定義的目錄作者角色。可透過遵循 《vCloud Director 使用者指
南》中的〈匯入群組〉指示完成此操作。
vCloud Director 安全性
VMware, Inc. 36
檢查清單 7此檢查清單概述了本文件中所述的重要安全性組態工作。
n 除了本文件中的指引,您還應該監控位於 http://www.vmware.com/security/advisories/ 的安全性建議並
使用該頁面上的表單註冊電子郵件警示。針對 vCloud Director 的其他安全性指引以及 新建議將張貼
在此處。
n 管理員應套用《vSphere 安全性》(https://docs.vmware.com/tw/VMware-vSphere/6.0/com.vmware.vsphere.security.doc/GUID-52188148-C579-4F6A-8335-CFBCE0DD2167.html)、《保
護 VMware NSX for vSphere 安全》(https://communities.vmware.com/docs/DOC-27674) 以及《NSX-v 6.3.x 安全性組態指南》(https://communities.vmware.com/docs/DOC-28142) 中建議的步驟,以確保
安全安裝這些產品。
n 安裝前,將 新安全性修補程式套用至儲存格 Linux 平台、vCloud Director 資料庫和虛擬基礎結構;
持續監控以將這些元件保持在 新修補程式層級同樣至關重要。
n 標準安全性強化程序應套用至儲存格 Linux 平台,包括停用不必要的網路服務、移除不必要的套件、限
制遠端根存取權限,以及強制執行強式密碼原則。如果可能,請使用集中式驗證服務,例如
Kerberos。考慮安裝監控與入侵偵測工具。
n 可以在儲存格 Linux 平台上安裝其他應用程式和佈建其他使用者,但不建議您這麼做。拓寬儲存格作業
系統的存取權可能會降低安全性。
n 讓 responses.properties 檔案僅供需要的人使用。當它正在使用時 (新增儲存格至伺服器群組時),將適當的存取控制放置在可供所有目標主機存取的位置上。應謹慎管控和加密建立的任何備份 (如果備
份軟體支援)。在所有伺服器主機上安裝軟體之後,應刪除這些可存取位置中 responses.properties 檔案的所有複本。
n responses.properties 和 global.properties 檔案受到 $VCLOUD_ HOME/etc 資料夾及檔案本身
的存取控制保護。請勿變更檔案或資料夾的權限。
n vCloud Director 伺服器的實體和邏輯存取權必須嚴格限制為需要登入,並且僅需要 低層級的存取
權。這包括透過 sudo 和其他 佳做法限制根帳戶的使用。必須嚴格保護和加密伺服器的任何備份,金
鑰須與備份本身分開管理。
n 如需資料庫安全性需求,請參閱所選 vCloud Director 資料庫軟體的安全性指南。
n 不應該授與 vCloud Director 資料庫使用者對該伺服器上的其他資料庫的權限或其他系統管理權限。
n 確保用於儲存格、已連線 vCenter Server、vCloud Director 資料庫、防火牆和其他裝置之管理存取權
的任何認證都遵循密碼複雜性標準。
VMware, Inc. 37
n 從深度防禦角度來看,為 vCloud Director 環境中的不同伺服器 (包括儲存格、vCloud Director 資料
庫、vCenter Server 和 NSX) 設定不同的管理密碼是非常重要的。
n 如需建立和取代 vCenter 及 ESXi 所使用的憑證的相關資訊,請參閱 https://docs.vmware.com/tw/VMware-vSphere/6.0/com.vmware.vsphere.security.doc/GUID-779A011D-B2DD-49BE-B0B9-6D73ECF99864.html。強烈建議遵循此內容。
n vCenter 憑證應具有符合 vCenter 安裝所在伺服器之 FQDN (完整網域名稱) 的一般名稱 (CN) 欄位。
n 設定 vCloud Director 以檢查 vCenter 憑證。
n vCenter 憑證應由 CA 簽署,並具有符合儲存格安裝所在主機之 FQDN 的 CN。
n 讓 vCloud Director 服務可供外部使用的建議方法是,將儲存格放置在 DMZ 中,並使網路防火牆將網
際網路與 DMZ 上的 vCloud Director 儲存格分隔開來。唯一允許通過網際網路對向防火牆的連接埠為
443/TCP。
n 雖然 vCloud Director 儲存格位於 DMZ 中,對所需服務的存取權也應該由網路防火牆居中協調。具體
來說,建議從將 DMZ 與內部網路分隔開來的防火牆的另一端存取 vCloud Director 資料庫、vCenter Server、vSphere 主機、IDP (包括 LDAP) 和任何備份或類似服務。
n 需要從雲端外部 (例如,從網際網路) 存取的虛擬機器將透過設定用於公開服務的連接埠轉送來連線至
公用網路或 NAT 路由的私人網路。這些組織 VDC 網路已連線的外部網路需要保護防火牆,以允許商
定的流量流向此 DMZ 網路。
n 一般而言,建議將需要從網際網路進行存取的 vApp 放置在路由的私人網路上。這會針對 NSX 提供的
防火牆和連接埠轉送規則提供承租人控制。這些規則及其他規則可能預設由選擇進行部署的網路防火牆
套用。如需特定的組態指示和預設功能,請參閱防火牆的說明文件。
n 深度防禦準則要求在網路防火牆中封鎖 JMX (連接埠 8999/TCP) 和 JMS (連接埠 61611/TCP 和
61616/TCP),以保護儲存格連線的 DMZ。
n 在 WAF 或負載平衡器後方,為多儲存格雲端設定公用 Web URL、公用主控台 Proxy 位址和公用
REST API 基底 URL。
n Web 應用程式防火牆 (WAF) 應部署在 vCloud Director 儲存格的前面。
n 在此類部署中,建議將 WAF 設定為允許檢查和適當封鎖惡意流量。通常,可透過 TLS 或 SSL 終止完
成此操作。
n 設定 TLS 或 SSL 終止時,不僅在 Web 應用程式防火牆 (WAF) 中安裝 CA 簽署憑證,以便 vCloud API 和 Web 主控台等用戶端應用程式可確保識別伺服器身分,還要使用儲存格上的 CA 簽署憑證 (儘管只有 WAF 可見),這一點非常重要。
n 後,如果負載平衡器獨立於 WAF 之外,它也應該使用 CA 簽署憑證。
n 建議您允許在防火牆產生 X-Forwarded-For 標頭 (如有可能)。
n 如果 vCloud Director 伺服器具有以獨佔方式指派用於管理的第三個 IP 位址,請將 JMX 直接繫結到此
IP 位址。依預設,vCloud Director JMX 連接器會繫結到設定期間指定的主要 IP 位址。可透過在 /opt/vmware/vcloud-service-director/etc/global.properties 中插入下列內容覆寫此預設值:
vcloud.cell.ip.management= JMX 連接器應繫結的管理網路的 IP 或主機名稱.
vCloud Director 安全性
VMware, Inc. 38
n 建議的更安全的組態涉及將 JMX 連接器繫結到 localhost 位址:
vcloud.cell.ip.management=127.0.0.1。如果 JMX 僅向 localhost 公開,則保護 JMX 通訊安全的操
作將透過使用 SSH 做為任意存取 JMX 的通道機制來完成。如果您的管理需求不允許使用此類
localhost 組態並且 JMX 必須在 vCloud Director 伺服器外公開,JMX 應使用 TLS 或 SSL 進行保護。
n 儲存格後方是 vCloud Director 所需的私人管理元素:其資料庫、NSX、vCenter Server、系統 LDAP 伺服器 (如有)、vCenter 所使用的 Active Directory 伺服器,以及 vSphere 主機的管理介面。其連線受
到防火牆的嚴格控制,因為這些服務不得從 DMZ 中的其他電腦或直接從網際網路存取。
n 同時假設一般資料中心安全技術 (例如 IDS/IPS、SIEM、組態管理、修補程式管理、漏洞管理、防毒和
GRC 管理系統) 將會套用至 vCloud Director 及其相關聯的系統、vSphere 及其相關聯的系統,以及支
援的網路與儲存區基礎結構。
n 適當管理租用、配額、限制和配置模型,可確保某個承租人組織無法偶然或故意拒絕為另一個組織提供
服務。
n 在上述和其他案例中,資源集區、網路和資料存放區應使用不同的提供者 VDC 劃分為不同安全性網
域,其中具有類似考量的 vApp 可分組在一起 (或隔離)。
n 每當您允許過度認可供多個承租人組織使用之集區中的資源時,都會遭受導致其他承租人的服務品質降
低的風險。為了避免「雜訊芳鄰」承租人所造成的拒絕服務,必須適當監控服務層級,但安全性不需要
將承租人劃分到個別資源集區即可滿足此目標。
n 有時,組織 VDC 網路可能會使用外部網路連線兩個不同的 vApp 及其網路,或將 vApp 網路重新連線
至企業資料中心。在這些情況下,外部網路不應在承租人組織之間共用。
n 對於周遊外部網路且同時需要機密性保護的通訊 (例如,vApp 至企業資料中心連線或 vApp 至 vApp 橋接),建議將 NSX Edge 或其他 VPN 虛擬應用裝置部署到組織 VDC 網路中。
n 如果必須在承租人之間共用網路集區, 安全的做法是共用 VXLAN 支援的集區,該集區支援的網路遠
多於 VLAN 支援的集區,並且會在 ESXi 核心層級強制執行隔離。
n 如果您在儲存區設定檔之間共用資料存放區,應設定儲存區限制、啟用精簡佈建 (如有可能),並仔細監
控儲存區使用量。同時需謹慎管理 vApp 儲存租用。
n 虛擬機器永遠不會看到其 VMDK 之外的任何儲存區,除非它們與這些儲存區系統之間具有網路連線。
本指南不建議建立此連線;提供者可提供 vApp 之外部儲存區的存取權做為一項網路服務,但它必須獨
立於指派給支援雲端的 vSphere 主機的 LUN。
n 如《vSphere 安全性》(https://docs.vmware.com/tw/VMware-vSphere/6.0/com.vmware.vsphere.security.doc/GUID-52188148-C579-4F6A-8335-CFBCE0DD2167.html) 中所定
義,管理網路獨立於虛擬機器資料網路是十分重要的。
n 同樣地,管理網路必須獨立於為組織管理員提供存取權的 DMZ。
n 儲存區網路實際上也是獨立的。這遵循了 vSphere 佳做法,可保護承租人組織和提供者儲存區防範
惡意虛擬機器。
n vMotion 並非始終放置在獨立於管理網路的單獨網路中;但是,在雲端中,從職責分離的角度來看,這
一點很重要。vMotion 通常以明文形式執行,如果置於管理網路中,可讓具有該網路存取權的提供者管
理員或其他使用者「探查」vMotion 流量,這違反了承租人隱私權。基於此原因,您應該為雲端工作負
載的 vMotion 建立單獨的實體網路。
vCloud Director 安全性
VMware, Inc. 39
n 好始終定期檢查記錄是否有可疑、異常或未經授權的活動以確保安全性。例行記錄分析也將協助您識
別系統錯誤組態和失敗,並協助確保符合 SLA。
n 可以在安裝期間設定 Syslog 伺服器。我們建議使用已啟用 TLS 的 Syslog 基礎結構。基於多個原因,
建議將記錄匯出至 Syslog 伺服器。建議為 syslog 伺服器設定備援,以確保始終記錄關鍵事件。安全
作業與 IT 作業組織可能也會從集中式彙總及管理診斷記錄中獲益。我們建議使用 logrotate 或類似方
法,來控制記錄大小和要保留的舊記錄檔數目。
n 確保您具有足夠的可用磁碟空間,可容納診斷記錄和 Jetty 要求記錄。集中式記錄可確保您不會遺失重
要的診斷資訊,因為記錄檔總計達到 400 MB 時,檔案會被輪替和刪除。
n 連線到 vCloud Director 並供其使用的其他系統會建立應整併至稽核程序的稽核記錄。包括來自 NSX、
vCloud Director 資料庫、vCenter Server 和 vSphere 主機的記錄。
n 建立初始本機系統管理員帳戶後,強烈建議由 LDAP 或 vSphere SSO 服務等身分識別提供者管理所有
系統管理員帳戶。
n 部分雲端提供者可以選擇允許組織使用系統 LDAP 中的 OU,或主控組織的 LDAP 目錄。在任一情況
下,都必須提供該目錄的適當管理存取權,以便使用者可由組織管理員進行管理。如果沒有這種管理控
制機制,承租人組織只能使用其本身主控和管理的私人 LDAP 目錄。
n 組織主控其自己的 LDAP 伺服器時出現的另一個問題是曝露在其 DMZ 之外。此服務不需要可供一般大
眾存取,因此應採取步驟將存取權限制為僅 vCloud Director 儲存格。執行此作業的一個簡單方式是,
將 LDAP 伺服器和/或外部防火牆設定為僅允許從屬於 vCloud Director 儲存格的 IP 位址進行存取。
n 提供者可採取步驟來防範此攻擊和類似承租人間的攻擊,其方法是限制要求的來源 IP 位址 (如有可能) 以及確保指派給承租人的組織名稱絕不會彼此過於類似。
n vCloud Director 必須設定為透過 SSL 連線至 LDAP 伺服器,以適當地保護針對這些伺服器驗證的密
碼。設定 LDAP over SSL 時,請勿接受所有憑證。
n 必須瞭解和套用管理使用者及其密碼的 佳做法。
n 應使用記錄管理、安全性資訊和事件管理 (SIEM) 或其他監控系統,監看透過暴力破解攻擊來破解密碼
的嘗試。
n 建議採用經過您的 IT 安全部門核准的方式來安全地儲存系統管理員與組織管理員密碼。
vCloud Director 安全性
VMware, Inc. 40