Tagged: VxRail

VxRail

Security Configuration Guide

vSphere Security Configuration Guide (SCG) est la référence pour les bonnes pratiques de renforcement de la sécurité et d’audit pour VMware vSphere..

 Security Configuration Guide

Il a longtemps servi de guide aux administrateurs vSphere cherchant à protéger leur infrastructure.

Le Guide de configuration de la sécurité vSphere est un ensemble de meilleures pratiques de sécurité.

L’activation de toutes les fonctionnalités de sécurité à leurs niveaux les plus élevés peut être préjudiciable, entravant les efforts quotidiens des administrateurs pour exploiter, corriger et surveiller leurs environnements.

vSphere Security Configuration Guide n’est pas un catalogue de tous les contrôles de sécurité disponibles, c’est simplement une base de référence raisonnable à partir de laquelle nous pouvons opérer.

  • Téléchargement

Vous pouvez télécharger le Guide de configuration de la sécurité VMware vSphere 8 sur : URL

  • Public visé

Le public du Guide de configuration de la sécurité vSphere est les clients VMware vSphere qui ont déployé vSphere 8.

Il existe de nombreux produits d’infrastructure de centre de données et de cloud hybride, tels que VMware Cloud Foundation, VMware Cloud, Dell EMC VxRail et d’autres qui implémentent vSphere dans le cadre de leurs solutions.

Pour ce type de solution, vous devez vérifier auprès du support technique de ces produits avant d’appliquer ces bonnes pratiques VMware.

VMware vSphere 8

VMware vSphere 8 est arrivé 🙂 , Quoi de neuf ?

Voici une présentation technique.

Dans cette vidéo, VMware présente les principales nouvelles fonctionnalités de vSphere 8, tel que le nouveau « vSphere Distributed Services Engine », ainsi que les améliorations vSphere pour Tanzu, la gestion du cycle de vie, l’IA et du ML et bien plus encore.

  • 0:00 vSphere 8 What’s New? Technical Overview
  • 0:57 vSphere Distributed Services Engine
  • 4:15 vSphere with Tanzu
  • 10:04 Lifecycle Management
  • 21:35 AI & ML
  • 27:10 Guest OS & Workloads
  • 41:03 Resource Management
  • 43:13 Security & Compliance
  • 46:01 Wrap-Up
YouTube player

Pour en savoir plus sur VMware vSphere 8 : URL

VMSA-2022-0021

Le 2 août 2022, VMware a publié un avis de sécurité critique, VMSA-2022-0021, qui traite des vulnérabilités de sécurité trouvées et résolues dans les produits Workspace ONE Access, VMware Identity Manager (vIDM), vRealize Lifecycle Manager, vRealize Automation et VMware Cloud Foundation de VMware.

Plusieurs vulnérabilités ont été signalées en privé à VMware, des correctifs sont disponibles pour corriger ces vulnérabilités dans les produits VMware concernés.

Produits impactés

  • VMware Workspace ONE Access (Access)
  • VMware Workspace ONE Access Connector (Access Connector)
  • VMware Identity Manager (vIDM)
  • VMware Identity Manager Connector (vIDM Connector)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

Authentication Bypass Vulnerability (CVE-2022-31656)

VMware Workspace ONE Access, Identity Manager et vRealize Automation contiennent une vulnérabilité de contournement d’authentification affectant les utilisateurs du domaine local.

VMware a évalué la gravité de ce problème comme étant dans la plage de gravité critique avec un score de base CVSSv3 maximum de 9,8.

JDBC Injection Remote Code Execution Vulnerability (CVE-2022-31658)

VMware Workspace ONE Access, Identity Manager et vRealize Automation contiennent une vulnérabilité d’exécution de code à distance.

VMware a évalué la gravité de ce problème comme étant dans la plage de gravité importante avec un score de base CVSSv3 maximum de 8,0.

Local Privilege Escalation Vulnerability (CVE-2022-31660, CVE-2022-31661)

VMware Workspace ONE Access, Identity Manager et vRealize Automation contiennent deux vulnérabilités d’élévation de privilèges.

VMware a évalué la gravité de ces problèmes comme étant dans la plage de gravité importante avec un score de base CVSSv3 maximum de 7,8.

Local Privilege Escalation Vulnerability (CVE-2022-31664)

VMware Workspace ONE Access, Identity Manager et vRealize Automation contiennent une vulnérabilité d’élévation des privilèges.

VMware a évalué la gravité de ce problème comme étant dans la plage de gravité élevée avec un score de base CVSSv3 maximum de 7,8.

JDBC Injection Remote Code Execution Vulnerability (CVE-2022-31665)

VMware Workspace ONE Access, Identity Manager et vRealize Automation contiennent une vulnérabilité d’exécution de code à distance.

VMware a évalué la gravité de ce problème comme étant dans la plage de gravité importante avec un score de base CVSSv3 maximum de 7,6.

URL Injection Vulnerability (CVE-2022-31657)

VMware Workspace ONE Access et Identity Manager contiennent une vulnérabilité d’injection d’URL.

VMware a évalué la gravité de ce problème comme étant dans la plage de gravité modérée avec un score de base CVSSv3 maximum de 5,9.

Path traversal vulnerability (CVE-2022-31662)

VMware Workspace ONE Access, Identity Manager, les connecteurs et vRealize Automation contiennent une vulnérabilité de traversée de chemin.
VMware a évalué la gravité de ces problèmes comme étant dans la plage de gravité modérée avec un score de base CVSSv3 maximum de 5,3.

Cross-site scripting (XSS) vulnerability (CVE-2022-31663)

VMware Workspace ONE Access, Identity Manager et vRealize Automation contiennent une vulnérabilité de script intersite (XSS) reflétée.
VMware a évalué la gravité de ces problèmes comme étant dans la plage de gravité modérée avec un score de base CVSSv3 maximum de 4,7.

Informations supplémentaires

Un article VMware a été créé pour plus de précisions. Veuillez consulter : URL

VMware Explore

VMware Explore !! Nous connaissons tous VMworld.

VMworld devient désormais VMware Explore (URL), un format réinventé centré sur l’univers multi-cloud où les leaders technologiques se réunissent pour échanger et apprendre.

VMware Explore

VMwareExplore, cet événement axé sur la technologie se déroulera sur deux jours et réunira des professionnels de l’industrie technologique, des clients et des leaders d’opinion.

Ce sera en quelque sorte le point central de l’univers multi-cloud : un endroit où des choses incroyables se produisent et où les leaders technologiques se réunissent pour partager et apprendre.

Ce qui différencie principalement VMwareExplore de l’ancienne expérience world, c’est que VMworld inclura également du contenu non-VMware et utilisera des experts tiers.

Advanced Cross vCenter vMotion

Advanced Cross vCenter Server vMotion avec différents domaines SSO est désormais améliorés à partir de vSphere 7.0 U3c

Cross vCenter Workload Migration Utility était l’une des utilitaires les plus populaires de VMware Flings.

De nombreux clients étaient impatients de voir cette capacité faire partie intégrante de vSphere.

A partir de vSphere 7 U1c, ce qui devait auparavant être fait via ce logiciel de fling est désormais entièrement intégrée au client Web vSphere.

Il est désormais recommandé d’utiliser la fonctionnalité officielle Advanced Cross vCenter vMotion incluse dans vSphere 7.0 Update 1c.

De plus, vSphere 7.0 U3c a ajouté une autre amélioration dans laquelle vous pouvez désormais exécuter une opération de clonage en masse entre des serveurs vCenter résidant dans différents domaines SSO.

Le but des améliorations de VMware est simple, fournir la possibilité de migrer en douceur des machines virtuelles entre différents sites (Datacenter) avec différents domaines SSO, vers une autre entreprise ou migrer vers des environnements cloud.

Cross vCenter vMotion

Prérequis Cross vCenter vMotion

  • vSphere 6.x et supérieur

La fonctionnalité Advanced Cross vCenter vMotion (XVM) dans vSphere 7.0 U1c est uniquement prise en charge entre les instances vSphere (vCenter et ESXi) 6.5 ou supérieur (les versions de vSphere 6.0 ne sont pas prises en charge).

  • vSphere Licence

Les fonctionnalités Cross vCenter Server est vMotion longue distance nécessitent une licence Enterprise Plus.

  • Synchronisation de l’heure

Les deux instances de vCenter Server doivent être synchronisées l’une avec l’autre pour une vérification correcte du jeton vCenter Single Sign-On.

  • Réseau

La communication sur les ports suivants doit être ouverte pour que les migrations fonctionnent.

SourceDestinationPortDescription
vSphere ESXivSphere ESXi8000, 902vMotion et NFC entre les hosts ESXi.
vCenter ServervSphere ESXi443Ajout des hosts ESXi au niveau du vCenter
vCenter ServervCenter Server443Communication entre les deux vCenter

Lorsque vous aurez besoin migrer des VMs entre deux instances vCenter Server, vous pouvez désormais le faire sans logiciel ni configuration supplémentaire.

C’est un outil très puissant qui est maintenant intégré au niveau vSphere.

Démonstration Cross vCenter vMotion

Le lancement de cross vCenter vMotion avancé est aussi simple que possible.
Faites un clic droit en sélectionnant une ou plusieurs VM que vous souhaitez déplacer et cliquer sur Migrate.

NB : En sélectionnant plusieurs VM, plusieurs VM seront clonées/migrées vers l’emplacement distant avec la même destination et les mêmes paramètres.

Cross vCenter vMotion

Sélectionner Cross vCenter Server Export, vous avez la possibilité de conserver une copie sur le serveur source (via un clone de la VM).

NB : si vous ne voyez pas cette option, cela signifie que vous devez mettre à jour votre vote vCenter.

Cross vCenter vMotion

Ensuite, vous devez spécifier le vCenter cible (IP/FQDN, utilisateur, mot de passe) et cliquer sur LOGIN pour valider les informations, puis Next.
Vous pouvez enregistrer ces informations pour une utilisation ultérieure.

Cross vCenter vMotion

Accepter (YES) le certificat vCenter distant, si l’assistant vous y invite.

Cross vCenter vMotion

Sélectionner l’host (ESXi) de ressource cible, Next.

Cross vCenter vMotion

Sélectionner le format de disque et la banque de données de destination, Next.

Select Storage

Sélectionner le dossier de destination, Next.

Select Folder

Le reste de l’assistant est comme un vMotion normal.
Fondamentalement, vous devrez sélectionner le centre de données, le cluster, l’hôte, le stockage et également choisir le réseau de destination pour vos machines virtuelles.

une fois la migration exécutée, une tâche (relocate virtual machine) apparaîtra sur le vCenter source et une autre tâche (Initiate vMotion receive operation) s’affichera sur le vCenter de destination.

Initiate vMotion receive operation

Recommandation

Avant de migrer une machine virtuelle, je vous recommande de sauvegarder la machine virtuelle car une coupure réseau ou tout incident peut vous faire perdre définitivement des données importantes.

VMSA-2022-0011

Le 6 avril 2022, VMware a publié VMSA-2022-0011, un avis de sécurité critique traitant des vulnérabilités de sécurité détectées dans les produits VMware Workspace ONE Access, VMware Identity Manager (vIDM), vRealize Lifecycle Manager, vRealize Automation et VMware Cloud Foundation.

VMware Identity Manager est également un composant externe facultatif qui peut fournir une authentification et une autorisation pour d’autres produits, tels que NSX, vRealize Operations, vRealize Log Insight et vRealize Network Insight.

La VMSA-2022-0011 sera toujours la source pour les produits et versions concernés, les solutions de contournement et les correctifs appropriés.

VMSA-2022-0011

Produits impactés

  • VMware Workspace ONE Access (Access)
  • VMware Identity Manager (vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

Informations supplémentaires

Veuillez consulter l’article VMware pour plus de détails :URL

VMSA-2022-0004

VMware a publié VMSA-2022-0004 plusieurs vulnérabilités dans VMware ESXi, Workstation et Fusion et des mises à jour sont disponibles pour corriger ces vulnérabilités dans les produits VMware concernés.

Les vulnérabilités individuelles documentées sur cette VMSA ont une gravité importante/modérée, mais la combinaison de ces problèmes peut entraîner une gravité plus élevée, par conséquent la gravité de cette VMSA est au niveau de gravité critique.

VMSA-2022-0004

La VMSA-2022-0004 sera toujours la source pour les produits et versions concernés, les solutions de contournement et les correctifs appropriés.

Solution de contournement : supprimer les contrôleurs USB des machines virtuelles, bien que cela puisse être irréalisable à grande échelle et n’élimine pas la menace potentielle comme le fait le correctif.

Avec cette VMSA, des versions supplémentaires de correctifs sont disponibles pour les clients qui utilisent VMware vSphere 7 Update 1 et Update 2, dans le but d’aider les clients qui ne peuvent pas effectuer la mise à niveau vers vSphere 7 Update 3c pour le moment.

Produits impactés

  • VMware ESXi
  • VMware Workstation Pro / Player (Workstation)
  • VMware Fusion Pro / Fusion (Fusion)
  • VMware Cloud Foundation (Cloud Foundation)

VMware OVF Tool

VMware OVF Tool (Open Virtualization Format Tool) est un outil qui permet d’importer/exporter des machines virtuelles via ligne de commande.

De nombreux cas d’utilisation (Use case) nécessitent d’importer/exporter des VM, tels que :

  • Déplacement de machines virtuelles entre vCenter (Cross-vCenter VMotion) sans licence ‘’Enterprise Plus‘’.
  • Migration de machines virtuelles entre DataCenter VMware, lors d’un projet de migration (Move Datacenter).
  • Déplacement de machine virtuelles chez un nouvel hébergeur.

Nous verrons ensemble à travers cet article comment installer l’outil OVF Tool et exporter une VM hébergée sur un serveur VMware ESXi.

Prérequis

  • Compte avec droit admin au niveau de votre machine (Windows) pour pouvoir installer OVF tool.
  • Compte avec droit admin au niveau vCenter.
  • La machine virtuelle doit être dans un état arrêt.
  • Disposer de suffisamment d’espace de stockage pour héberger l’export OVF/OVA.

Télécharger et installer l’outil VMware OVF

Le programme d’installation de l’outil OVF est disponible pour Windows, Linux et MAC OSX.

Vous pouvez télécharger l’outil VMware OVF sur le site Web de VMware : URL

Une fois l’outil téléchargé, l’installation est assez simple.

Install OVF Tool

Lorsque l’installation de VMware OVF Tool est terminée, utilisez l’invite de commande CMD pour accéder à l’outil OVF sur le chemin c:\Program Files\VMware\VMware OVF Tool

Découvrir le chemin de la VM

Si vous ne connaissez pas le chemin de la VM, vous pouvez le découvrir.

Il faut se connecter au vCenter via les identifiants d’accès, en indiquant l’adresse IP ou le nom de votre vCenter sur cette commande

ovftool.exe vi://vcenter-name

Pour répertorier les machines virtuelles exécutées sur vCenter Server, vous pouvez exécuter la commande ci-dessous

ovftool.exe vi://<vcenter-name>/DC-NAME/vm/

Cette commande affiche la liste des VMs disponibles au niveau du dossier VM.

Afficher les détails de la VM OVF

Pour avoir une idée sur la taille et les détails de la VM OVF, vous pouvez exécuter la commande suivante

ovftool.exe vi://<vcenter-name>/DC-NAME/vm/vm-name

Export VM vers OVF

Pour exporter la VM au format OVF, utilisez la commande « ovftool.exe vi:// » en précisant le chemin de la VM et le chemin de destination sur lequel on veut déposer l’export

ovftool.exe vi://<vcenter-name>/<DC-NAME>/vm/vm-name  <patch to save the OVF file>

Export VM vers OVA

L’export au format OVA est similaire à l’export d’une VM au format OVF, il suffit d’indiquer le nom du fichier avec suffixe (.ova) à la fin du chemin de destination

ovftool.exe vi://<vcenter-name>/<DC-NAME>/vm/vm-name  <Folder path to save the OVA file\ova-name.ova>

Suivi de l’export

  1. Lors de l’exécution de l’export VM, nous pouvons suivre la progression de l’opération via la même fenêtre CMD.
  2. Lorsque l’exportation de la VM est terminée avec succès, le message suivant s’affiche : “Completed Successfully ».
Badr Eddine CHAFIQ