Red de conocimiento informático - Conocimiento informático - Cómo proteger el servidor VMware VCenter

Cómo proteger el servidor VMware VCenter

Proteger VMware VCenter Server es importante porque VMware VCenter Server (anteriormente conocido como Virtual Center) tiene control de acceso total sobre todas las máquinas virtuales que administra. Es posible que haya tomado algunas medidas para evitar que usuarios no autorizados inicien sesión en VCenter, pero hay dos aspectos de VCenter que muchos administradores de sistemas pueden pasar por alto. VCenter tiene dos componentes integrados muy importantes: la base de datos utilizada para almacenar los datos de configuración de VCenter y Active Directory utilizado para autenticar a los usuarios. Si estos dos componentes no están bien protegidos, los usuarios malintencionados pueden obtener acceso al entorno de su estación de trabajo a través de estos dos componentes.

Proteger la base de datos del servidor VCenter

La base de datos VCenter es donde se almacenan los datos de configuración y otros datos, incluidos roles, permisos, eventos, tareas, datos de rendimiento, información del centro de datos e información del clúster. , Información del grupo de recursos, etc.

Si utiliza herramientas SQL para conectarse a una base de datos de SQL Server y ver la base de datos de VCenter, verá muchas de las tablas utilizadas por VCenter. Muchas de estas tablas comienzan con VPX. La tabla VPX_ACCESS se utiliza para almacenar información de control de acceso para VCenter y consta de las siguientes columnas: ID, PRINCIPAL, ROLE_ID, ENTITY_ID y FLAG. Si ingresamos una consulta SQL simple, podremos ver la información principal contenida en la tabla:

Seleccione * de vpx_access

El resultado será similar al siguiente:

Echemos un vistazo a las columnas de datos de la tabla y lo que representan:

ID es un identificador único en la tabla y se utiliza para identificar cada registro de la tabla

Principal es el nombre local o de dominio del usuario o grupo, precedido por "()" para usuarios y grupos de dominio (por ejemplo,

ROLE_ID es el ID correspondiente al rol definido en la tabla VPC_ROLE.

ID es un identificador único en la tabla que identifica cada registro en la tabla:

Principal es el nombre de un usuario o grupo local o de dominio.

Principal es el nombre de un usuario o grupo local o de dominio, -1 indica que es un administrador y la función de administrador no se puede eliminar de VCenter; de lo contrario, no aparecerá en otras funciones de la base de datos de VCenter (por ejemplo, El ID de DataCenterAdministrator es 2 y el ID del usuario de VirtualMachine es 5;

Entity_ID es el ID correspondiente al objeto definido en la tabla VPX_ENTITY. Estos objetos de entidad incluyen máquinas virtuales, hosts, clústeres, grupos de recursos y datos. center. El ID 1 se utiliza para identificar entidades de nivel superior, como hosts y clústeres.

El indicador se utiliza para identificar si el principal representa un usuario o un grupo. El indicador 3 indica que el principal es. un grupo. 1 significa que el director es un usuario.

Después de comprender el significado de estos datos, podemos desarrollar los datos devueltos en la tabla VPX_ACCESS de la siguiente manera:

El administrador del grupo local de Windows es la función de administrador a nivel de host o clúster. Miembros

El grupo VCenter_Admins del dominio ACME de Windows es miembro de la función de Administradores a nivel de host o clúster

El usuario TJones del dominio ACME de Windows es miembro de una función específica llamado vCenter Network (tabla vpx_entity 1422 = Win2000-5 en la tabla vpx_entity), esta función es para una máquina virtual específica llamada Win2000-5 (1422 = Win2000-5 en la tabla vpx_entity). 120 en la tabla vpx_entity = vCenterNetwork)

El grupo vCenter_Users del dominio ACME de Windows es miembro de un rol específico llamado vCenterOps (21 en la tabla vpx_entity = Denver1) para el rol llamado Win2000-5 Virtual específico máquina (1422 = Win2000-5 en la tabla vpx_entity). vCenterOps (140 = vCenterOps en la tabla vpx_entity)

Si el usuario tiene acceso a la base de datos y tiene una cuenta local de Windows o una cuenta de dominio, puede otorgarse privilegios de administrador y obtener acceso utilizando el siguiente comando SQL. para un mayor control de acceso a nivel de host y clúster:

inserte en vpx_access (ID, PRINCIPAL, ROLE_ID, ENTITY_ID, FLAG) los valores ('100', 'ACME\JSMITH', '-1', ' 1', '1');

commit;

Realiza esta operación. A una cuenta de usuario de dominio denominada JSmith (ACME\JSMITH) se le puede asignar la función de Administrador (-1) en niveles altos de host y clúster (1). Si ingresa el ID 100, esta cuenta no está actualmente en uso en la tabla. Si la tabla SQL se actualiza y VCenter no reconoce inmediatamente la actualización, apagar y reiniciar el servidor VCenter obliga a VCenter a reconocer la actualización y el usuario puede iniciar sesión en el servidor VCenter.

En pocas palabras: proteja la base de datos SQL de VCenter utilizando mecanismos de contraseña seguros y restringiendo el acceso a la base de datos. Asegúrese de utilizar una contraseña segura para cualquier otra cuenta que tenga acceso a la tabla (como la cuenta MS-SQL "sa"). Además, si es posible, ejecute la base de datos VCenter en un servidor SQL específico e intente no compartir el servidor SQL con otros usuarios. Finalmente, parchee su servidor SQL para evitar que usuarios malintencionados accedan al servidor a través de algunas vulnerabilidades conocidas.

Permisos de Active Directory y VCenter

A continuación analizamos Active Directory. De forma predeterminada, VCenter verifica todos los permisos de usuarios y grupos para objetos de entidad en VCenter una vez al día. El propósito de esto es revisar los usuarios y grupos para asegurarse de que todavía estén en Active Directory y eliminar automáticamente los permisos si no lo están. Si se crea una cuenta con el mismo nombre después de eliminar una cuenta de AD y VCenter no ha eliminado los permisos de la cuenta original, la nueva cuenta puede acceder a VCenter usando esos permisos.

Entonces, si una cuenta AD llamada MJONES se elimina por la mañana y tiene derechos de administrador en VCenter, y unas horas más tarde se crea una nueva cuenta llamada MJONES con derechos de administrador, entonces se eliminará la cuenta llamada nueva cuenta de MJONES. Se creó una cuenta denominada MJONES, que luego tenía los mismos derechos de administrador de VCenter que se restableció antes de la rutina de autenticación diaria de vCenter.

Esto puede suceder porque el Identificador del sistema (SIDS: System Identifier), una cadena larga o una cadena numérica larga que Windows utiliza para identificar de forma exclusiva al usuario no se utiliza en VCenter. En Windows, si se elimina una cuenta de AD y se crea una cuenta con el mismo nombre, la cuenta tendrá un SID diferente y no tendrá los mismos permisos de Windows que la cuenta anterior con el mismo nombre.

Pero en VCenter, ambas cuentas se considerarán la misma cuenta con los mismos permisos porque VCenter solo verifica usando el dominio y el nombre de usuario, no el SID.

En VCenter, seleccione Administrar en el menú superior.

En VCenter, seleccione Administración en el menú superior, complete las configuraciones que controlan este comportamiento y luego seleccione la opción Configuración del servidor de administración de VCenter. Seleccione "Active Directory" en el cuadro de la izquierda. En el cuadro de la derecha puede ver la configuración "Habilitar validación" y debajo está el período de validación (preciso al minuto). Esta función se puede desactivar por completo. El intervalo predeterminado es 1440 minutos (un día), pero se puede cambiar. Si a los usuarios les preocupa la seguridad de su entorno operativo, pueden cambiar el período de verificación a un valor más bajo (como 120 minutos). Debido a que esta característica protege VCenter eliminando automáticamente los permisos que ya no son válidos, se recomienda no desactivar esta característica de propiedad.

Como se mencionó anteriormente, hay algunas áreas en VCent que requieren atención adicional, y los usuarios deben asegurarse de conocerlas y protegerlas adecuadamente. Proteger la base de datos es una cuestión crítica y garantizar que el acceso no autorizado se bloquee rápidamente es clave para proteger el servidor VCenter de intrusiones no autorizadas.