Guía de Hardening de VMware vSphere 5.1

Artículos relacionados

Mikrotik: Hardening configuraciones Router

2 días hace

Implementar SOC: Instalar TheHive, Cortex y MISP

22 febrero, 2024

Implementar SOC: Instalación Wazuh

18 febrero, 2024

Cuando hablamos de Hardening en sistemas informáticos, hablamos del proceso por el que aplicamos configuraciones específicas, recomendaciones de uso… en los distintos componentes que forman parte de la infraestructura, con el objetivo de aumentar la seguridad de los sistemas.

VMware publica periódicamente, una guía en la que nos permite facilitar ese proceso indicándonos que configuraciones son las recomendadas. Normalmente cada guía está asociada a una versión de VMware vSphere en concreto.

Podemos acceder a las guías de Hardening disponibles en VMware en este enlace.

En las versiones 4 y 4.1 la guía era un documento PDF. A partir de la versión 5, la guía se publica como un documento Excel en el que han añadido más información, entre la que destacaría los comandos para poder comprobar o aplicar las configuraciones de la mayoría de los apartados, de forma que, en mi opinión, facilita enormemente el seguir la guía.

Descripción de la guía

La guía está compuesta por varias hojas:

• La primera hoja es una introducción con la descripción de los componentes que abarca, la descripción de los campos, cuando aplican las configuraciones…
• Existe una hoja por cada uno de los componentes
  • VM
  • ESXi
  • vNetwork
  • vCenter Server
  • VMware Update Manager (VUM)
  • Single Sign-On (SSO)
  • Cliente Web
  • VCSA

Perfiles en los que se aplican las configuraciones

VMware establece tres perfiles de entornos en los que aplicar las distintas configuraciones. Para cada configuración se indica en que tipo de entorno se aplicaría.

Los perfiles son:

• Perfil 3: aplica a cualquier tipo de infraestructura. Son recomendaciones aplicables independientemente de la infraestructura vSphere.
• Perfil 2: este perfil hace referencia a entornos más sensibles, donde es necesario aplicar ciertas normas de seguridad más estrictas o hay datos sensibles.
• Perfil 1: hace referencia a los entornos más seguros, con información extremadamente sensible, como pueden ser entornos militares.

Por ejemplo, tendremos configuraciones donde se indica que el perfil a aplicar es 1,2,3 lo que indica que se recomienda aplicar en todos los casos, y otras donde el perfil a aplicar puede ser sólo el 1, lo que indica que solo lo aplicaremos en este tipo concreto de infraestructuras. En ocasiones, el que haga referencia a los perfiles más seguros, indica que la configuración, además de implicar más seguridad, en algún caso puede limitar también la funcionalidad, por lo que tenemos que prestar atención a cada configuración.

Tipos de acciones

En la guía se indican tres tipos de acciones que se pueden implementar:

• Parámetros: hace referencia a parámetros que pueden tomar un valor específico, indicado en la guía o en otro documento.
• Configuraciones: una configuración o conjunto de configuraciones, tanto hardware como software
• Operaciones: indica procedimientos de como utilizar los distintos componentes

Un ejemplo de cada tipo de acción serían:

• Parámetros: que las máquinas virtuales tengan deshabilitado el copiar-pegar en la consola
• Configuración: integrar los servidores ESXi con Directorio Activo
• Operaciones: minimizar el uso de la consola de las máquinas virtuales.

Descripción de los campos de la guía

Para cada una de las configuraciones, parámetros u operaciones, VMware nos muestra los siguientes campos (no en todos los casos tendrán un valor)

• ID: identificador de la configuración, por ejemplo: “disable-console-copy“
• Product: producto al que afecta, por ejemplo: “vSphere“
• Version: versión del producto, por ejemplo: “5.1“
• Component: componente al que afecta la configuración, por ejemplo: “Virtual Machines“
• Subcomponent: indica el subcomponente, por ejemplo: “Tools“
• Title: título descriptivo, por ejemplo: “Disable tools auto install“
• Vulnerability Discussion: descripción detallada de la configuración, por ejemplo: “Tools auto install can initiate an automatic reboot, disabling this option will prevent tools from being installed automatically and prevent automatic machine reboots“
• Profile: el listado de perfiles donde aplica, por ejemplo: “1,2“
• Control Type: tipo de configuración, por ejemplo: “Parameter“
• Assessment Procedure: descripción del procedimiento para aplicar la configuración, por ejemplo: “Check virtual machine configuration file and verify that isolation.tools.autoinstall.disable is set to TRUE“
• Configuration File: si aplica, el archivo donde se aplica la configuración, por ejemplo: “VMX“
• Configuration Parameter: si aplica, nombre del parámetro, por ejemplo: “isolation.tools.autoInstall.disable“
• Desired Value: valor recomendado para el parámetro, por ejemplo: “True“
• Change Type: tipo de campo del parámetro, por ejemplo: “Modify“
• Is desired value the default?: indica si el valor por defecto es el recomendado, por ejemplo: “Yes“
• vSphere API: enlace a la documentación del API, por ejemplo: “http://pubs.vmware.com/vsphere-51/topic/com.vmware.wssdk.apiref.doc/vim.option.OptionValue.html“
• ESXi Shell Command Assessment: comando en ESXi shell para comprobar la configuración, por ejemplo: “grep -i “isolation.tools.copy.disable” [VMX]“
• ESXi Shell Command Remediation: comando en ESXi shell para aplicar la recomendación, por ejemplo: “# esxcli software profile update / # esxcli software vib update“
• vCLI Command Assessment:omando en vCLI para comprobar la configuración, por ejemplo: “vmware-cmd –server [SERVER] –username [USERNAME] –password [PASSWORD] /vmfs/volumes/[DATASTORE]/[VM]/[VM].vmx getguestinfo isolation.tools.copy.disable“
• vCLI Command Remediation: comando en vCLI para aplicar la recomendación, por ejemplo: “# esxcli <conn_options> software profile update / # esxcli <conn_options> software vib update“
• PowerCLI Command Assessment:omando en PowerCLI para comprobar la configuración, por ejemplo: “# List the VMs and their current settings
  Get-VM | Get-AdvancedSetting -Name “isolation.tools.copy.disable” | Select Entity, Name, Value“
• PowerCLI Command Remediation: comando en PowerCLI para aplicar la recomendación, por ejemplo: “# Add the setting to all VMs
  Get-VM | New-AdvancedSetting -Name “isolation.tools.copy.disable” -value $true“
• Negative Functional Impact: explica posibles impactos que puede tener el aplicar la configuración, por ejemplo “This will cause the VMX process to not respond to commands from the tools process, this may have a negative impact on operations such as automated tools upgrades“
• Reference: enlace a la documentación de referencia, por ejemplo: “http://pubs.vmware.com/vsphere-51/topic/com.vmware.vcli.examples.doc/cli_manage_networks.11.9.html“
• Able to set using Host Profile?: nos indica si podemos aplicar la configuración mediante Host Profiles, por ejemplo: “Yes“

En los próximos días iremos contando algunos detalles de como podemos comprobar o aplicar algunas de las configuraciones recomendadas en la guía.

¿Te ha gustado la entrada SÍGUENOS EN TWITTER O INVITANOS A UN CAFE?

Follow @@elblogdenegu