前言

等保2.0云计算测评过程中，除了常见的阿里云、百度云、华为云外，最多的就是Vmware旗下的Vsphere系列产品，本次以安全计算环境为例，简单记录下vcenter6.7通用部分测评实施，扩展部分还未整理完，匆忙之中，难免不足，敬请大家指出，。

Vcenter分为Vmware设备管理和Vcenter Application Server（VCSA），以下分别是两者的登录截图，后面测评实施部分会交叉核查。

一、身份鉴别

a)   应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

VCSA安装完成后，默认已启用密码复杂度策略，如下图所示，因此，默认该要求项为符合。

这里可以编辑设置密码最大更换周期和密码复杂度要求，默认即符合。

b)   应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

VCSA安装完成后，登录失败限制策略也是默认符合，如下图

c)   当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

默认VCSA有Web、SSH、CLI和DCUI4种方式，其中CLI和DCUI本质还是HTTPS协议。因此，远程管理VCSA时只有SSH和HTTPS协议，因此该项默认符合。

d)   应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

VCSA支持智能卡进行双因素认证，但是时间中还没遇到过，也可以通过AD对接第三方的SSO平台进行双因素认证，实践中也未遇见过，因此一般情况下，该项不符合。

二、访问控制

a)   应对登录的用户分配账户和权限；

VCSA默认有本地组和域组两种类型的账户，其中本地组就是VCSA服务器操作系统的账户，从VCSA上无法进行修改，一般登录VCSA采用的是域账户，以下是ISHB.com域的默认账户，其中administrator就是默认管理员账户名，完整的账户名是[email protected]。

b)   应重命名或删除默认账户，修改默认账户的默认口令；

VCSA的默认账户administrator在安装VCSA时就必须配置口令，且口令必须满足口令复杂度要求，因此默认口令这条是默认符合，但是默认账户如果未修改或重命名，这条就是部分符合。

c)   应及时删除或停用多余的、过期的账户，避免共享账户的存在；

上述4个默认账户都是安装时自动生成的，如果除了以上默认账户外存在其他多余的账户，不符合，如果存在多人共用一个账户的情形，不符合。

d) 应授予管理用户所需的最小权限，实现管理用户的权限分离；

在VCSA中，有组和角色概念，其中组就是同类账户类型的集，角色是同类权限的集，这是默认的组：

这是默认的角色，默认角色很多，权限也各不相同，每个角色可以i在全局权限定义，如下图：

如果仅有一个administrator账户，不符合，如果存在多个账户，在角色这里核查每个账户的权限，如果不同，符合，反之，不符合。

e)应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

VCSA中，均由administrators组的成员账户配置各个账户的权限，因此该条默认符合。

f)访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

VCSA中，权限分配的颗粒度可以达到数据库表级，该条默认符合。

注：一般业务应用系统的权限颗粒度都是数据库表级，所有权限都是在存储数据库字段中，有过开发经历的同学可能比较了解，所以建议默认符合。

g)应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

该条主要核查应用系统是否采用强制访问控制机制，目前的商业系统均不符合，一般只有军用系统才符合，因此，默认该条不符合。

三、安全审计

a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；

VCSA中，默认日志功能已开启，内容包括系统运行状态和用户登录信息，该项默认符合，如下图：

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

从上图可以看到，默认的日志记录包括描述、类型、日期时间、任务、目标、用户和事件ID，该项默认符合。

c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；

这里核查不是VCSA，而是后台的设备管理，这里可以配置SYSLOG日志服务器，如果已配置，符合，反之不符合，如图所示：

d)   应对审计进程进行保护，防止未经授权的中断。

VCSA的日志默认无法中断，该项默认符合。

四、入侵防范

a)应遵循最小安装的原则，仅安装需要的组件和应用程序；

该项测评对象是服务器，业务应用系统不适用。

b)应关闭不需要的系统服务、默认共享和高危端口；

该项测评对象是服务器，业务应用系统不适用。

c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

该项测评对象是服务器，业务应用系统不适用。

d)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

该项测评对象是服务器和业务应用系统，VCSA不适用。

e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

主要核查设备管理平台是否安装最新的补丁包，VCSA的最新的补丁包默认包含之前的补丁，所以仅安装最新的补丁包就可以，如果未安装，不符合，反之，符合，如下图

f)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

该项测评对象是服务器，业务应用系统不适用。

五、恶意代码防范

a)   应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断。

该项测评对象是服务器，业务应用系统不适用。

六、可信验证

a)   可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。

该项默认不符合，原因不用多说了吧。

七、数据完整性

a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

该项VCSA由于VCSA采用HTTPS和SSH协议，因此默认符合，关于数据保密性、完整性我后面单独写一篇。

b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

该项VCSA由于VCSA采用HTTPS和SSH协议，因此默认符合，关于数据保密性、完整性我后面单独写一篇。

八、数据保密性

a)应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

该项VCSA由于VCSA采用HTTPS和SSH协议，因此默认符合，关于数据保密性、完整性我后面单独写一篇。

b)应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

该项VCSA由于VCSA采用HTTPS和SSH协议，因此默认符合，关于数据保密性、完整性我后面单独写一篇。

九、备份与恢复

a)   应提供重要数据的本地数据备份与恢复功能；

VCSA提供了自动备份功能，也可以随时恢复，具体在设备管理平台里，如果有备份记录，且已经恢复测试过，符合，反之不符合或部分符合，详细见下图：

b)应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

该项主要核查是VCSA所在的虚拟机是否开启FT，且FT备用虚拟机位于异地，此处异地个人认为应作文理解释，为不同县市区级以上的城市，一般默认不符合。

c)应提供重要数据处理系统的热冗余，保证系统的高可用性。

该项主要核查是VCSA所在的虚拟机是否开启FT，如果开启，默认符合，反之不符合。

来源：freebuf.com 2020-10-09 17:56:51 by: tc01680