Tagged: VCP

VMware Certified Professional

Configuration et Hardening vSphere 8

Le Guide Configuration et Hardening vSphere 8 est la référence en matière d’amélioration et d’audit de VMware vSphere.

Lancé il y a plus de quinze ans, il sert depuis longtemps de référence aux administrateurs de virtualisation qui cherchent à protéger leur infrastructure.

Le Guide de configuration et de renforcement de la sécurité est un kit qui comprend plusieurs artefacts :

  • VMware vSphere Security Configuration Guide 8 – Guidance.pdf
  • VMware vSphere Security Configuration Guide 8 – Controls.xlsx (fichier Excel contenant les contrôles de base du renforcement de la sécurité et exemples d’automatisation PowerCLI pour l’audit et la correction des objets vSphere).
  • Dossier Tools avec des exemples de scripts d’audit vSphere, basés sur VMware PowerCLI et la documentation associée.

Téléchargement

Il s’agit du Guide de configuration et Hardening vSphere 8 version 802-20231005-01.
Ce guide a été développé avec VMware vSphere 8 Update 2 (8.0.2) et remplace toutes les versions et instructions antérieures.

Le guide de configuration et d’amélioration de la sécurité de VMware vSphere 8 peut être téléchargé à partir de : vmware-vsphere-security-configuration-guide-8-802-20231005-01

vSphere 8 Update 2

VMware vient d’annoncer la disponibilité de vSphere 8 Update 2.

vSphere 8 Update 2 est une mise à jour majeure de la plate-forme de virtualisation de VMware, publiée le 21 septembre 2023. Elle comprend un certain nombre de nouvelles fonctionnalités et améliorations qui sont conçues pour améliorer les performances, l’évolutivité et la sécurité des environnements virtualisés.

Cette mise à jour vise à renforcer l’efficacité opérationnelle des administrateurs, à optimiser les performances des charges de travail exigeantes et à accélérer le rythme de l’innovation pour les ingénieurs DevOps, les développeurs et toute personne souhaitant bénéficier d’un accès en libre-service aux prestations d’infrastructures.

Principales fonctionnalités de vSphere 8 Update 2

  • Mise à niveau de la planification des ressources distribuées (DRS) : DRS a été amélioré pour défragmenter automatiquement les machines virtuelles (VM) équipées de vGPU pour accueillir de nouvelles VM. Cela facilite le déploiement et la gestion des VM qui nécessitent des vGPU.
vSphere 8 Update 2: vGPU-Aware
  • Installation simplifiée de l’appliance vCenter Server : Le processus d’installation de l’appliance vCenter Server a été simplifié, ce qui facilite le déploiement et la gestion de vCenter Server sur site ou dans le cloud.
  • Amélioration de la sécurité pour vSphere with Tanzu : vSphere with Tanzu a été amélioré avec de nouvelles fonctionnalités de sécurité, notamment la prise en charge du contrôle d’accès à base des rôles Kubernetes (RBAC) et des politiques de sécurité des pods (pod security policies).
  • Réduction du temps d’arrêt lors des mises à niveau de vCenter : Initialement introduite l’année dernière pour les clients vSphere+, VMware a étendu la disponibilité de cette fonctionnalité à toutes les éditions de vSphere. Lors d’une mise à niveau, le temps d’arrêt du vCenter est significativement réduit, passant généralement d’une heure à quelques minutes. Essentiellement, cette courte durée couvre le temps nécessaire pour arrêter les services sur l’ancien vCenter et démarrer les services sur le nouveau. Par conséquent, les fenêtres de maintenance planifiées sont bien plus courtes. Les mises à niveau peuvent être effectuées plus fréquemment en raison du processus simplifié, permettant aux organisations de bénéficier plus rapidement des dernières fonctionnalités de vCenter.
vSphere 8 Update 2: Reduce planned Downtime vCenter Upgrade :
  • Support de la Fédération d’Identité Microsoft Entra ID (anciennement Azure AD) : au cours des dernières années, VMware a régulièrement étendu la prise en charge des fournisseurs d’identité tiers, incluant notamment Microsoft Active Directory Federation Service (ADFS) et plus récemment Okta Identity Service. Dans cette version, VMware annonce l’intégration de la prise en charge de Microsoft Entra ID (anciennement Azure AD).

Avantages de la mise à niveau vers vSphere 8 Update 2

  • Amélioration des performances : Les améliorations apportées à DRS et DKV (Distributed Key-Value Store) peuvent contribuer à améliorer les performances des charges de travail virtualisées.
  • Augmentation de l’évolutivité : vSphere 8 Update 2 peut prendre en charge plus de VM et d’hôtes que les versions précédentes.
  • Amélioration de la sécurité : Les nouvelles fonctionnalités de sécurité peuvent contribuer à protéger les environnements virtualisés des cyberattaques.

Mise à niveau vers vSphere 8 Update 2

Le processus de mise à niveau vers vSphere 8 Update 2 est relativement simple.

Je vous invite à vous référer à l’article vSphere 8 : Mise à niveau-Upgrade pour une gestion optimale de votre processus de mise à niveau.

VMware fournit un certain nombre de ressources pour aider au processus de mise à niveau, notamment de la documentation et du support.

Téléchargement

  • vSphere 8 Update 2 est disponible ici

Articles Liés

Mise à niveau vCenter 8.0 U2 via VAMI

Dans cet article, je vais décrire comment mettre à niveau vCenter Server Appliance vers la version 8.0 U2 via le déploiement du patch en utilisant l’interface VAMI (vCenter Server Appliance Management Interface).

  • Télécharger le patch VC-8.0u2.
  • Monter le patch ISO de mise à niveau sur le serveur vCenter.
  • Aller dans les propriétés de la VM vCenter Server.
  • Connectez l’ISO VCSA au CD/DVD Drive.
  • Cochez la case Connect At Power On et cliquez sur OK.
  • Dans un navigateur Web, accédez à l’interface de gestion VAMI : https://vCenter-IP-address-or-FQDN:5480
  • Accéder au menu Services et vérifier que tous les services sont dans l’état Healthy et Started.
  • Allez ensuite dans le menu Update et cliquez sur Check Updates.
  • Sélectionnez le correctif et cliquez sur « Stage and Install« .
  • Acceptez le contrat de licence et cliquez sur Next.

Sauvegarder le vCenter Server et sélectionner “I have backed up vCenter Server and its associated databases“, cliquez sur « Finish« .

  • La mise à niveau a réussi et la version affichée est 8.0.2.00000.

VMware Private AI

VMware annonce la disponibilité de VMware Private AI, une approche architecturale pour les services d’intelligence artificielle (IA) qui permet aux entreprises de :

  • Conserver la confidentialité et le contrôle de leurs données d’entreprise
  • Choisir des solutions d’IA open source ou commerciales
  • Réaliser un retour sur investissement rapide
  • Bénéficier d’une sécurité et d’une gestion intégrées

VMware Private AI offre aux entreprises la flexibilité de déployer une gamme de solutions d’IA, notamment :

  • Les logiciels NVIDIA AI
  • Les référentiels communautaires open source
  • Les fournisseurs de logiciels indépendants

Les entreprises peuvent déployer Private AI en toute confiance, sachant que VMware a noué des partenariats avec les principaux fournisseurs d’IA.

VMware Private AI offre également des performances élevées grâce aux intégrations GPU vSphere et VMware Cloud Foundation.

VMware Private AI s’appuie sur un vaste réseau de partenaires, notamment :

  • Les leaders du secteur tels que NVIDIA et Intel.
  • Les fabricants OEM de serveurs majeurs tels que Dell Technologies, Hewlett Packard Enterprise (HPE) et Lenovo.
  • Les fournisseurs d’IA et de ML Ops tels que Anyscale, Run:ai et Domino Data Lab
  • Les intégrateurs de systèmes mondiaux tels que HCL et Wipro
VMware Private AI Open Ecosystem

Pour concrétiser l’architecture Private AI au sein des entreprises et stimuler une nouvelle génération d’applications basées sur l’IA, VMware a récemment annoncé deux initiatives majeures :

  • VMware Private AI Foundation avec NVIDIA : Cette collaboration étend le partenariat stratégique entre les deux entreprises. L’objectif est de préparer les entreprises qui utilisent l’infrastructure cloud de VMware à la prochaine ère de l’IA générative. Cette initiative vise à offrir une base solide pour la mise en œuvre de solutions d’IA avancées.
  • VMware Private AI Reference Architecture for Open Source : Cette architecture de référence a été conçue pour aider les clients à atteindre leurs objectifs en matière d’IA en prenant en charge les meilleures technologies de logiciels libres existantes et futures. Elle offre une approche pratique et évolutive pour l’intégration d’initiatives d’IA basées sur des solutions open source au sein des entreprises.

Ces deux annonces soulignent l’engagement de VMware à faciliter l’adoption et la mise en œuvre de solutions d’IA avancées au sein des entreprises, en exploitant des partenariats stratégiques et en fournissant des architectures de référence flexible

VMware vSphere+ souscription

VMware vSphere+ souscription est un nouveau modèle de licence par abonnement pour la solution de virtualisation VMware vSphere.

Ce nouveau modèle offre une série d’avantages par rapport au modèle de licence perpétuel, notamment une plus grande simplicité, flexibilité et des fonctionnalités avancées.

VMware prévoit de remplacer prochainement toutes ses licences perpétuelles par des abonnements.

Ses offres seront donc commercialisées sous forme de services SaaS fédérés dans VMware Cloud Console, avec une multitude d’options.

Simplicité

vSphere+ est basé sur un modèle de souscription unique, ce qui simplifie la gestion des licences et des coûts, les entreprises n’ont plus besoin de gérer des licences perpétuelles.

Avec vSphere+, les entreprises paient simplement un abonnement mensuel ou annuel en fonction du nombre des ressources vSphere qu’elles utilisent.

Les abonnements sont disponibles en plusieurs éditions, chacune avec ses propres fonctionnalités et avantages.

Flexibilité

vSphere+ permet aux entreprises de payer uniquement pour les ressources qu’elles utilisent (pay as you go), ce qui offre une plus grande flexibilité.

Les entreprises peuvent adapter leurs abonnements en fonction de l’évolution de leurs besoins.

Fonctions avancées

vSphere+ comprend une série de fonctionnalités avancées qui ne sont pas disponibles dans le modèle de licence traditionnel.

  • Console Cloud centralisée
  • Service de gestion du cycle de vie vCenter
  • Service de gestion de la capacité
  • Cloud Consumption Interface (CCI)
  • Intégration de Tanzu Kubernetes Grid
  • Tanzu Mission Control Essentials
VMware vSphere+ souscription

Pourquoi les entreprises devraient-elles envisager de passer à VMware vSphere+ souscription ?

Les entreprises qui cherchent à simplifier la gestion de leurs licences vSphere, à améliorer leur flexibilité et à bénéficier de fonctionnalités avancées devraient envisager de passer à vSphere+.

vSphere+ est une solution rentable qui peut aider les entreprises à tirer le meilleur parti de leur infrastructure vSphere.

vSphere+ souscription permet de mieux gérer son budget en passant d’un modèle de consommation basé sur les dépenses d’investissement à un modèle basé sur les coûts d’exploitation.

L’offre unique comprend tous les composants (instances vCenter, hôtes ESXi) et le support, de sorte que vous n’avez pas à gérer une multitude de licences et de contrats.

Avec vSphere+, vous n’avez plus besoin d’acheter des licences vCenter séparées et vous pouvez déployer autant d’instances vCenter que nécessaire sans coût supplémentaire.

Le comptage et la facturation sans clé (Keyless) de licence éliminent les difficultés liées à l’enregistrement, au suivi, au fractionnement et à la saisie des clés de licence, le tout géré via VMware Cloud.

Passer de licence perpétuelle vers VMware vSphere+ souscription

Si vous disposez de licences vSphere Enterprise Plus que vous souhaitez convertir en vSphere+, VMware propose un programme de mise à niveau pour vous aider à préserver la valeur de votre investissement vSphere existant.

Avec l’aide du service client VMware ou d’un partenaire certifié VMware, vos licences perpétuelles seront converties en abonnements, ce qui vous évitera de gérer des clés de licence.

Vos produits seront activés via votre abonnement vSphere+ dans VMware Cloud Console.

Vous pouvez ensuite facilement surveiller vos abonnements et l’utilisation à partir de la console Cloud.

Pour plus de détails :

vSphere Firewalling Helper

vSphere Firewalling Helper a pour but d’aider les organisations à protéger leurs environnements, en leur permettant d’élaborer des règles de flux réseau granulaires pour l’accès aux interfaces de gestion vSphere.

Son objectif est d’aider à identifier et documenter les ouvertures de flux nécessaires à mettre en œuvre au niveau du pare-feu réseau, pour le déploiement VCF et/ou vSphere.

Les ports internes (ports visibles dans netstat, écoutant sur 127.0.0.1 ou ::1, ou non autorisés par iptables) se trouvent à l’intérieur du périmètre de support des appliances et sont listés ici afin de faciliter les efforts de conformité réglementaire des clients (NERC CIP, PCI DSS 4.0, etc.).

La modification des ports internes des composants et appliances vSphere n’est ni supportée ni recommandée.

Public visé

Ce document couvre VMware vSphere 6.5, 6.5, 7.0 et 8.0.

Les configurations ont été évaluées par rapport à vSphere 7 Update 3 et vSphere 8 Update 1.

Téléchargement


Il est disponible sous forme de fichier Excel et peut être téléchargé à partir de : vSphere Firewalling Helper

Introduction to VMware vSphere+

VMware vSphere+™ peut aider les organisations informatiques à stimuler l’efficacité opérationnelle, à accélérer l’innovation, à se transformer grâce à l’intégration du cloud et à apporter les avantages du cloud aux infrastructures et charges de travail sur site (on-premises).

YouTube player

ESXi Comptes par défaut

ESXi Comptes par défaut : l’hyperviseur VMware ESXi est déployé avec deux comptes intégrés, root et dcui, et lorsqu’il est géré avec VMware vCenter Server, il est généralement activé avec un troisième compte, vpxuser.

Root

Le compte root est créé lors de l’installation. Il est nécessaire pour l’administration et n’est pas supprimable.

Le mot de passe peut être modifié manuellement et via les interfaces utilisateur et les API.

Il n’existe aucune disposition permettant de modifier automatiquement le mot de passe ou d’en assurer la rotation, ni de le gérer en dehors des interfaces utilisateur et des interfaces de programmation du produit.

Le mot de passe n’est pas « par défaut » puisqu’il est spécifié par l’administrateur lors de l’installation.

Le mot de passe est soumis aux paramètres de complexité et d’historique du mot de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe est stocké sous la forme d’un hachage SHA512, conformément aux systèmes d’exploitation UNIX.

Un accès administratif équivalent peut être accordé à d’autres comptes ajoutés après l’installation pour une utilisation quotidienne par les administrateurs vSphere, de sorte que des alertes de surveillance des journaux (Log Insight et autres) puissent être créées pour une utilisation directe de ce compte.

Il n’est pas recommandé de désactiver l’accès au shell pour ce compte sur ESXi 8.0.0 ou plus récent.

dcui

Le compte dcui est créé lors de l’installation. Il est nécessaire pour isoler le service de console directe et n’est pas supprimable.

Le mot de passe peut être modifié manuellement et par programme via les interfaces utilisateur et les interfaces de programmation du produit, bien qu’il soit recommandé de le laisser verrouillé.

Il n’existe aucune disposition permettant de modifier automatiquement le mot de passe ou d’effectuer une rotation, ni de le gérer en dehors des interfaces utilisateur et des interfaces de programmation du produit.

Il n’y a pas de mot de passe par défaut. Le compte est verrouillé par la méthode standard UNIX qui consiste à remplacer le mot de passe dans /etc/shadow par une valeur incompatible avec un hachage SHA512 (comme ‘x’ ou ‘!’ ou ‘*’).

Le compte ne devrait pas avoir de mot de passe configuré, mais s’il en avait un, il serait soumis aux paramètres de complexité et d’historique des mots de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe, s’il est défini, serait stocké sous la forme d’un hachage SHA512, conformément aux systèmes d’exploitation UNIX et de type UNIX.

Les administrateurs vSphere n’ont aucune raison de se connecter à ESXi de cette manière, en tant que tel, ce compte peut voir son accès au shell supprimé dans ESXi 8.0.0 et les versions plus récentes.

vpxuser

Le compte vpxuser est créé lorsque ESXi est attaché pour la première fois à vCenter Server.

Il est nécessaire pour l’administration par vCenter Server. Pour attacher ESXi à vCenter Server, l’administrateur vSphere fournit des identifiants root ou équivalents. vCenter Server utilise ces identifiants pour créer et sécuriser le compte ‘vpxuser’ et tous les accès ultérieurs de vCenter Server se font par l’intermédiaire de vpxuser.

Le mot de passe peut, mais ne doit pas, être modifié manuellement, car vCenter Server devra être reconnecté, ce qui peut entraîner des problèmes opérationnels et des pannes.

vCenter Server effectuera automatiquement une rotation du mot de passe à un intervalle régi par le paramètre avancé VirtualCenter.VimPasswordExpirationInDays de vCenter Server, mesuré en jours, avec un minimum de 1 et une valeur par défaut de 30 jours.

Le mot de passe généré aléatoirement est composé de 32 caractères utilisant quatre classes de caractères (chiffres, caractères spéciaux, majuscules et minuscules) et ce mot de passe est généré de manière aléatoire pour chaque hôte ESXi.

Le mot de passe est soumis aux paramètres de complexité et d’historique du mot de passe ESXi, tels que Security.PasswordQualityControl.

Le mot de passe est stocké sous la forme d’un hachage SHA512 sur ESXi, conformément aux systèmes d’exploitation UNIX.

Pour permettre la gestion, vCenter Server stocke le mot de passe vpxuser dans un format crypté à l’intérieur de la base de données vCenter Server Appliance.

Ce compte n’est pas supprimable et il n’est pas possible de lui substituer un autre compte.

L’accès au shell peut être supprimé sur ESXi 8.0.0 et les versions plus récentes, mais cela aura un impact sur les capacités de gestion de vCenter Server.

Il n’y a aucune raison pour que les administrateurs vSphere se connectent à ESXi avec ce compte, de sorte que les alertes de surveillance des journaux (Log Insight et autres) peuvent être configurées pour s’alarmer si ce compte est accessible à partir de n’importe quel endroit autre que vCenter Server.

ESXi Comptes par défaut

Security Configuration Guide

vSphere Security Configuration Guide (SCG) est la référence pour les bonnes pratiques de renforcement de la sécurité et d’audit pour VMware vSphere..

 Security Configuration Guide

Il a longtemps servi de guide aux administrateurs vSphere cherchant à protéger leur infrastructure.

Le Guide de configuration de la sécurité vSphere est un ensemble de meilleures pratiques de sécurité.

L’activation de toutes les fonctionnalités de sécurité à leurs niveaux les plus élevés peut être préjudiciable, entravant les efforts quotidiens des administrateurs pour exploiter, corriger et surveiller leurs environnements.

vSphere Security Configuration Guide n’est pas un catalogue de tous les contrôles de sécurité disponibles, c’est simplement une base de référence raisonnable à partir de laquelle nous pouvons opérer.

  • Téléchargement

Vous pouvez télécharger le Guide de configuration de la sécurité VMware vSphere 8 sur : URL

  • Public visé

Le public du Guide de configuration de la sécurité vSphere est les clients VMware vSphere qui ont déployé vSphere 8.

Il existe de nombreux produits d’infrastructure de centre de données et de cloud hybride, tels que VMware Cloud Foundation, VMware Cloud, Dell EMC VxRail et d’autres qui implémentent vSphere dans le cadre de leurs solutions.

Pour ce type de solution, vous devez vérifier auprès du support technique de ces produits avant d’appliquer ces bonnes pratiques VMware.

Badr Eddine CHAFIQ