업데이트 2 수정날짜 : 2018 년 5 월 3 일 VMware vsphere 6.5 VMware ESXi 6.5 vcenter Server 6.5
VMware 웹사이트 (https://docs.vmware.com/kr/) 에서최신기술문서를확인할수있습니다. 이문서에대한의견이있으면 docfeedback@vmware.com 으로사용자의견을보내주십시오. VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com Copyright 2009 2018 VMware, Inc. 판권소유. 저작권및상표정보. VMware, Inc. 2
목차 vsphere 보안정보 7 1 vsphere 환경의보안 9 ESXi 하이퍼바이저보안 9 vcenter Server 시스템및관련서비스보안 11 가상시스템보안 12 가상네트워킹계층보호 13 vsphere 환경의암호 15 보안모범사례및리소스 16 2 vsphere 사용권한및사용자관리작업 18 vsphere의권한부여이해 19 vcenter 구성요소에대한사용권한관리 25 글로벌사용권한 28 역할을사용하여권한할당 31 역할및권한에대한모범사례 36 일반작업에필요한권한 36 3 ESXi 호스트보안 40 호스트프로파일을사용하여 ESXi 호스트구성 40 일반 ESXi 보안권장사항 41 ESXi 호스트에대한인증서관리 52 보안프로파일을사용하여호스트사용자지정 68 ESXi 호스트에대한권한할당 84 Active Directory를통해 ESXi 사용자관리 86 vsphere Authentication Proxy 사용 89 ESXi에대한스마트카드인증구성 97 ESXi Shell 사용 99 ESXi 호스트를위한 UEFI 보안부팅 104 ESXi 로그파일 106 4 vcenter Server 시스템보안 110 vcenter Server 보안모범사례 110 기존 ESXi 호스트지문확인 116 NFC(Network File Copy) 를통한 SSL 인증서유효성검사사용확인 117 vcenter Server 및 Platform Services Controller 의필수포트 118 추가 vcenter Server TCP 및 UDP 포트 124 VMware, Inc. 3
5 가상시스템보안 128 가상시스템에대해 UEFI 보안부팅사용또는사용안함 128 가상시스템에서 VMX 파일로의정보메시지제한 129 가상디스크축소방지 130 가상시스템보안모범사례 131 6 가상시스템암호화 141 vsphere 가상시스템암호화를통해환경을보호하는방법 141 vsphere 가상시스템암호화구성요소 144 암호화프로세스흐름 145 가상디스크암호화 147 암호화작업의사전요구사항및필요한권한 148 vsphere vmotion 암호화 149 암호화모범사례, 주의사항및상호운용성 150 7 vsphere 환경에서암호화사용 156 키관리서버클러스터설정 156 암호화스토리지정책생성 163 호스트암호화모드를사용하도록명시적으로설정 164 호스트암호화모드사용안함 164 암호화된가상시스템생성 165 암호화된가상시스템복제 166 기존가상시스템또는가상디스크암호화 167 암호화된가상시스템또는가상디스크암호해독 167 가상디스크에대한암호화정책변경 168 없는키문제해결 169 ESXi 호스트암호화모드문제해결 170 키관리서버인증서만료임계값설정 171 vsphere 가상시스템암호화및코어덤프 171 8 vsphere 네트워킹보호 175 vsphere 네트워크보안소개 175 방화벽으로네트워크보호 177 물리적스위치보호 180 보안정책으로표준스위치포트보호 180 vsphere 표준스위치보안 181 표준스위치보호및 VLAN 183 vsphere Distributed Switch 및분산포트그룹보안 184 VLAN으로가상시스템보호 185 단일 ESXi 호스트내에여러네트워크생성 187 인터넷프로토콜보안 190 적절한 SNMP 구성확인 193 VMware, Inc. 4
vsphere 네트워킹보안모범사례 194 9 여러 vsphere 구성요소와관련된모범사례 199 vsphere 네트워크에서클럭동기화 199 스토리지보안모범사례 203 게스트로호스트성능데이터보내기가사용하지않도록설정되었는지확인 206 ESXi Shell 및 vsphere Web Client 에대한시간제한설정 206 10 TLS 구성유틸리티를사용하여 TLS 프로토콜구성관리 208 TLS 버전을사용하지않도록설정가능한포트 208 vsphere에서 TLS 버전을사용하지않도록설정 210 TLS 구성유틸리티설치 210 선택적수동백업수행 212 vcenter Server 시스템에서 TLS 버전을사용하지않도록설정 213 ESXi 호스트에서 TLS 버전을사용하지않도록설정 214 Platform Services Controller 시스템에서 TLS 버전을사용하지않도록설정 216 TLS 구성변경내용되돌리기 217 vsphere Update Manager에서 TLS 버전을사용하지않도록설정 219 11 정의된권한 223 경보권한 224 Auto Deploy 및이미지프로파일권한 225 인증서권한 226 컨텐츠라이브러리권한 227 암호화작업권한 228 데이터센터권한 230 데이터스토어권한 231 데이터스토어클러스터권한 232 Distributed Switch 권한 232 ESX Agent Manager 권한 233 확장권한 233 외부통계제공자권한 233 폴더권한 234 글로벌권한 234 상태업데이트제공자권한 235 호스트 CIM 권한 235 호스트구성권한 235 호스트인벤토리 236 호스트로컬작업권한 237 호스트 vsphere 복제권한 238 호스트프로파일권한 238 네트워크권한 239 VMware, Inc. 5
성능권한 239 사용권한에대한권한 239 프로파일기반스토리지권한 240 리소스권한 240 스케줄링된작업권한 241 세션권한 241 스토리지보기권한 242 작업권한 242 전송서비스권한 243 가상시스템구성권한 243 가상시스템게스트작업권한 244 가상시스템상호작용권한 245 가상시스템인벤토리권한 253 가상시스템프로비저닝권한 254 가상시스템서비스구성권한 255 가상시스템스냅샷관리권한 256 가상시스템 vsphere 복제권한 256 dvport 그룹권한 256 vapp 권한 257 vservices 권한 258 vsphere 태그지정권한 258 VMware, Inc. 6
정보 vsphere 보안에서는 VMware vcenter Server 및 VMware ESXi에대한 vsphere 환경보호에대한정보를제공합니다. vsphere 환경을보호할수있도록이설명서에서는사용가능한보안기능과공격으로부터환경을보호하기위해취할수있는조치에대해설명합니다. 표 1. vsphere 보안하이라이트 항목 컨텐츠하이라이트 사용권한및사용자관리 사용권한모델 ( 역할, 그룹, 개체 ) 사용자지정역할생성 사용권한설정 글로벌사용권한관리호스트보안기능 잠금모드및기타보안프로파일기능 호스트스마트카드인증 vsphere Authentication Proxy 가상시스템암호화 VM 암호화의작동방식 KMS 설정 VM 암호화및암호해독 문제해결및모범사례 TLS 프로토콜구성관리 보안모범사례및강화 명령줄유틸리티를사용하여 TLS 프로토콜구성변경 VMware 보안전문가의모범사례및조언 vcenter Server 보안 호스트보안 가상시스템보안 네트워킹보안 vsphere 권한 이릴리스에서지원되는모든 vsphere 권한의전체목록 관련설명서 함께제공되는문서인 Platform Services Controller 관리에는 Platform Services Controller 서비스를사용하여 vcenter Single Sign-On을사용한인증관리및 vsphere 환경의인증서관리와같은작업을수행할수있는방법이설명되어있습니다. VMware, Inc. 7
VMware는이러한문서외에도 http://www.vmware.com/security/hardeningguides.html에서액세스할수있는각 vsphere 릴리스에대한강화가이드를게시합니다. 강화가이드는다양한잠재적보안문제에대한항목이포함된스프레드시트입니다. 여기에는 3개의각기다른위험프로파일에대한항목이포함됩니다. 이 vsphere 보안문서에는위험프로파일 1( 극비정부기관과같은보안수준이가장높은환경 ) 에대한정보가포함되어있지않습니다. 대상사용자 이정보는가상시스템기술과데이터센터작업에익숙한숙련된 Windows 또는 Linux 시스템관리 자를위해작성되었습니다. vsphere Web Client 및 vsphere Client (HTML 5 Client) 이가이드에나와있는작업지침은 vsphere Web Client 를기반으로합니다. 새 vsphere Client 에서도이가이드에나와있는대부분의작업을수행할수있습니다. 새 vsphere Client 사용자인터 페이스의용어, 토폴로지및워크플로는 vsphere Web Client 사용자인터페이스의동일한측면및 요소와비슷합니다. 별도의지시사항이없는한 vsphere Web Client 지침을새 vsphere Client 에적용할수있습니다. 참고 vsphere Web Client 의기능일부는 vsphere 6.5 릴리스의 vsphere Client 에구현되지 않았습니다. 지원되지않는기능의최신목록을보려면 vsphere Client 의기능업데이트가이드 (http://www.vmware.com/info?id=1413) 를참조하십시오. VMware, Inc. 8
vsphere 환경의보안 1 vsphere 환경의구성요소는기본적으로인증, 권한부여, 각 ESXi 호스트의방화벽과같은몇가지기능에의해보호됩니다. 여러가지방법으로기본설정을수정할수있습니다. 예를들어 vcenter 개체에대해사용권한을설정하거나, 방화벽포트를열거나, 기본인증서를변경할수있습니다. 예를들어 vcenter Server 시스템, ESXi 호스트, 가상시스템, 네트워크및스토리지개체와같은 vcenter 개체계층의여러개체에대해보안조치를취할수있습니다. 주의가필요한 vsphere의여러영역을개괄적으로파악하면보안전략을계획하는데도움이됩니다. 또한 VMware 웹사이트에서다른 vsphere 보안리소스도활용할수있습니다. 이장에서는다음주제에대해설명합니다. ESXi 하이퍼바이저보안 vcenter Server 시스템및관련서비스보안 가상시스템보안 가상네트워킹계층보호 vsphere 환경의암호 보안모범사례및리소스 ESXi 하이퍼바이저보안 ESXi 하이퍼바이저보안이기본적으로제공됩니다. 잠금모드및다른기본제공기능을사용하여추가로 ESXi 호스트를보호할수있습니다. 일관성을위해참조호스트를설정하고모든호스트가참조호스트의호스트프로파일과동기화되도록유지합니다. 또한스크립트로작성된관리를수행하여환경을보호할수도있습니다. 이렇게하면변경내용이모든호스트에적용됩니다. 다음작업을통해 vcenter Server로관리되는 ESXi 호스트의보호를개선할수있습니다. 배경및세부정보는 VMware vsphere Hypervisor의보안백서를참조하십시오. ESXi 액세스제한 기본적으로 ESXi Shell 및 SSH 서비스는실행되지않고루트사용자만 DCUI(Direct Console User Interface) 에로그인할수있습니다. ESXi 또는 SSH 액세스를사용하도록설정하는경우시간제한을설정하여인증되지않은액세스에대한위험을제한할수있습니다. VMware, Inc. 9
ESXi 호스트에액세스할수있는사용자는호스트를관리하는사용권한 이있어야합니다. 호스트를관리하는 vcenter Server 시스템에서호스 트개체에대한사용권한을설정합니다. 명명된사용자및최소 권한사용 기본적으로루트사용자는여러작업을수행할수있습니다. 관리자가루트사용자계정을사용하여 ESXi 호스트에로그인하도록허용하지마십시오. 대신, vcenter Server에서명명된관리자를생성하고해당사용자에게관리자역할을할당합니다. 또한해당사용자에게사용자지정역할을할당할수있습니다. 사용자지정역할생성의내용을참조하십시오. 호스트에서사용자를직접관리하는경우역할관리옵션이제한됩니다. vsphere 단일호스트관리 - VMware Host Client 설명서를참조하 십시오. 열린 ESXi 방화벽포트 의수최소화 기본적으로 ESXi 호스트의방화벽포트는해당서비스를시작할때만열 립니다. vsphere Web Client 나 ESXCLI 또는 PowerCLI 명령을사 용하여방화벽포트상태를확인하고관리할수있습니다. ESXi 방화벽구성의내용을참조하십시오. ESXi 호스트관리자동 화 동일한데이터센터의다른호스트가동기화된상태에있는것이중요한경우가많기때문에스크립트로작성된설치또는 vsphere Auto Deploy를사용하여호스트를프로비저닝합니다. 스크립트를사용하여호스트를관리할수있습니다. 호스트프로파일을스크립트로작성된관리대신사용할수도있습니다. 참조호스트를설정하고호스트프로파일을내보내고호스트프로파일을모든호스트에적용합니다. 호스트프로파일을직접또는 Auto Deploy로프로비저닝작업의일부로적용할수있습니다. vsphere Auto Deploy 에대한자세한내용은스크립트를사용하여호 스트구성설정관리및 vsphere 설치및설정설명서를참조하십시오. 잠금모드이용 잠금모드에서 ESXi 호스트는기본적으로 vcenter Server를통해서만액세스할수있습니다. vsphere 6.0부터엄격잠금모드또는정상잠금모드를선택하고예외사용자를정의하여백업에이전트와같은서비스계정에직접액세스하도록할수있습니다. 잠금모드의내용을참조하십시오. VIB 패키지무결성검사 각 VIB 패키지에는관련된허용수준이있습니다. VIB 허용수준이호스트의허용수준과동일하거나더나은경우에만 VIB를 ESXi 호스트에추가할수있습니다. 명시적으로호스트의허용수준을변경하지않는한 CommunitySupported 또는 PartnerSupported VIB를호스트에추가할수없습니다. 호스트및 VIB 의수락수준관리의내용을참조하십시오. VMware, Inc. 10
ESXi 인증서관리 vsphere 6.0 이상에서 VMCA(VMware Certificate Authority) 는기본적으로각 ESXi 호스트에루트인증기관이 VMCA인서명된인증서를프로비저닝합니다. 회사정책에서요구하는경우기존인증서를타사또는엔터프라이즈 CA에서서명된인증서로바꿀수있습니다. ESXi 호스트에대한인증서관리항목을참조하십시오. 스마트카드인증고려 vsphere 6.0 부터 ESXi 는사용자이름및암호인증대신스마트카드 인증을지원합니다. 보안강화를위해스마트카드인증을구성할수있습 니다. vcenter Server 에대해 2 단계인증도지원됩니다. ESXi 에대한스마트카드인증구성의내용을참조하십시오. ESXi 계정잠금고려 vsphere 6.0부터 SSH 및 vsphere Web Services SDK를통한액세스에대해계정잠금이지원됩니다. 기본적으로, 계정이잠기기전에최대 10번의시도실패가허용되고 2분후에는계정에대한잠금이해제됩니다. 참고 DCUI(Direct Console Interface) 및 ESXi Shell 은계정잠 금을지원하지않습니다. ESXi 암호및계정잠금의내용을참조하십시오. 관리작업은다를수있지만독립형호스트에대한보안고려사항은유사합니다. vsphere 단일호스 트관리 - VMware Host Client 설명서를참조하십시오. vcenter Server 시스템및관련서비스보안 vcenter Server 시스템및관련서비스는 vcenter Single Sign-On을통한인증및 vcenter Server 사용권한모델을통한권한부여에의해보호됩니다. 기본동작을수정하거나추가단계를수행하여환경에대한액세스를제한할수있습니다. vsphere 환경을보호할때 vcenter Server 인스턴스와관련된모든서비스가보호되어야한다는것을고려하십시오. 일부환경에서는여러개의 vcenter Server 인스턴스와하나이상의 Platform Services Controller 인스턴스를보호해야할수있습니다. 모든 vcenter 호스트시스템강화 vcenter 인증서모델학습 vcenter 환경을보호하는첫번째단계는 vcenter Server 또는관련서비스가실행되는각시스템을강화하는것입니다. 물리적시스템또는가상시스템에적용되는고려사항은유사합니다. 운영체제에항상최신보안패치를설치하고업계표준모범사례를따라호스트시스템을보호합니다. 기본적으로 VMware Certificate Authority는 VMCA로서명된인증서를사용하여각 ESXi 호스트, 환경의각시스템및각솔루션사용자를프로비저닝합니다. 해당환경이바로작동하지만회사정책에서요구하는경우기본동작을변경할수있습니다. 자세한내용은 Platform Services Controller 관리설명서를참조하십시오. VMware, Inc. 11
추가로보호하려면만료되거나해지된인증서및실패한설치를명시적으 로제거합니다. vcenter Single Sign-On 구성명명된사용자또는그룹에역할할당 vcenter Server 및관련서비스는 vcenter Single Sign-On 인증프레임워크에의해보호됩니다. 처음소프트웨어를설치할때 vcenter Single Sign-On 도메인 ( 기본적으로 administrator@vsphere.local) 관리자의암호를지정합니다. 해당도메인만처음에 ID 소스로사용할수있습니다. Active Directory 또는 LDAP를사용하는다른 ID 소스를추가하고기본 ID 소스를설정할수있습니다. 그러면그러한 ID 소스중하나에인증할수있는사용자는권한이부여된경우개체를보고작업을수행할수있습니다. 자세한내용은 Platform Services Controller 관리설명서를참조하십시오. 로깅을향상시키기위해개체에제공하는각사용권한을명명된사용자또는그룹및사전정의된역할또는사용자지정역할과연결합니다. vsphere 6.0 사용권한모델은사용자또는그룹을인증하는다양한방법을통해뛰어난유연성을제공합니다. vsphere의권한부여이해및일반작업에필요한권한항목을참조하십시오. 관리자권한및관리자역할의사용을제한하십시오. 가능한경우익명의 관리자사용자를사용하지마십시오. NTP 설정 환경의각노드에대해 NTP 를설정합니다. 인증서인프라는정확한타임 스탬프가필요하며노드가동기화되지않은경우제대로작동하지않습니 다. vsphere 네트워크에서클럭동기화를참조하십시오. 가상시스템보안 VM을보호하려면게스트운영체제가패치되도록유지하고환경을물리적시스템을보호하는것처럼보호합니다. 불필요한기능을사용하지않도록설정하는것을고려하고 VM 콘솔사용을최소화하고기타모범사례를따릅니다. 게스트운영체제보호 불필요한기능사용안 함 게스트운영체제를보호하려면게스트운영체제에서최신패치를사용하고적합한경우스파이웨어방지및맬웨어방지애플리케이션을사용합니다. 게스트운영체제벤더의설명서그리고책이나인터넷에서제공되는해당운영체제관련기타정보를참조하십시오. 잠재적공격지점을최소화하기위해불필요한기능이사용하지않도록설정되었는지확인합니다. 드물게사용되는기능의대부분은기본적으로사용하지않도록설정되어있습니다. 불필요한하드웨어를제거하고 HGFS(Host-Guest Filesystem) 또는 VM과원격콘솔간에복사하여붙여넣기와같은특정기능을사용하지않도록설정합니다. 가상시스템내의불필요한기능사용안함의내용을참조하십시오. 템플릿및스크립트로작 성된관리기능사용 VM 템플릿을사용하면요구사항을충족하도록운영체제를설정하고동 일한설정으로다른 VM 을생성할수있습니다. VMware, Inc. 12
초기배포후 VM 설정을변경하려면 PowerCLI와같은스크립트사용을고려합니다. 이설명서에서는 GUI를사용하여작업을수행하는방법을설명합니다. 환경의일관성을유지하기위해 GUI 대신스크립트를사용하는것이좋습니다. 대규모환경에서는스크립팅을최적화하기위해 VM을폴더로그룹화할수있습니다. 템플릿에대한자세한내용은템플릿을사용하여가상시스템배포및 vsphere 가상시스템관리항목을참조하십시오. PowerCLI에대한자세한내용은 VMware PowerCLI 설명서를참조하십시오. 가상시스템콘솔사용 최소화 가상시스템콘솔은물리적서버의모니터가제공하는 VM에동일한기능을제공합니다. 가상시스템콘솔에대한액세스권한이있는사용자는 VM 전원관리및이동식디바이스연결제어에대한액세스권한이있습니다. 따라서가상시스템콘솔액세스로인해 VM이악의적인공격을받을수있습니다. UEFI 보안부팅고려 vsphere 6.5부터 UEFI 부팅을사용하도록 VM을구성할수있습니다. 운영체제에서 UEFI 보안부팅을지원하는경우추가적인보안을위해 VM에대해해당옵션을선택할수있습니다. 가상시스템에대해 UEFI 보안부팅사용또는사용안함의내용을참조하십시오. 가상네트워킹계층보호 가상네트워킹계층에는가상네트워크어댑터, 가상스위치, 분산가상스위치, 포트및포트그룹이포함됩니다. ESXi는 VM과가상시스템사용자간의통신을지원하기위해가상네트워킹계층에의존합니다. 또한 ESXi는 iscsi SAN, NAS 스토리지등과통신하기위해가상네트워킹계층을사용합니다. vsphere에는보안네트워킹인프라에필요한전체기능어레이가포함됩니다. 가상스위치, 분산가상스위치, 가상네트워크어댑터와같은각인프라요소를별도로보호할수있습니다. 또한 8장 vsphere 네트워킹보호에서보다자세하게논의된다음지침을고려하십시오. 네트워크트래픽분리 ESXi 환경의보안을유지하기위해서는네트워크트래픽을분리하는일이필수적입니다. 필요한액세스및분리수준은네트워크마다다릅니다. 관리네트워크에서는클라이언트트래픽, CLI( 명령줄인터페이스 ) 또는 API 트래픽, 타사소프트웨어트래픽을일반적인트래픽에서분리합니다. 시스템, 네트워크및보안관리자만관리네트워크에액세스할수있는지확인하십시오. ESXi 네트워킹보안권장사항의내용을참조하십시오. 방화벽을사용하여가상 네트워크요소보호 방화벽포트를열고닫는것은물론가상네트워크에서각요소를별도로보호할수있습니다. ESXi 호스트의경우, 방화벽규칙은서비스를해당방화벽과연결하며서비스의상태에따라방화벽을열고닫을수있습니다. ESXi 방화벽구성의내용을참조하십시오. VMware, Inc. 13
또한 Platform Services Controller 및 vcenter Server 인스턴스의포트를명시적으로열수있습니다. vcenter Server 및 Platform Services Controller의필수포트및추가 vcenter Server TCP 및 UDP 포트항목을참조하십시오. 네트워크보안정책고려 네트워크보안정책은 MAC 주소가장행위및원치않는포트검색으로부터트래픽을보호합니다. 표준스위치또는 Distributed Switch의보안정책은네트워크프로토콜스택의계층 2( 데이터링크계층 ) 에서구현됩니다. 보안정책의세가지요소는비규칙 (promiscuous) 모드, MAC 주소변경및위조전송입니다. 지침은 vsphere 네트워킹설명서를참조하십시오. VM 네트워킹보호 VM 네트워킹을보호하기위해사용하는방법은다음을비롯한다양한요 소에따라결정됩니다. 설치된게스트운영체제 VM이신뢰할수있는환경에서작동하는지여부가상스위치및분산가상스위치는방화벽설치와같은다른공통적인보안모범사례와함께사용할경우높은수준의보호를제공합니다. 8장vSphere 네트워킹보호의내용을참조하십시오. 환경보호에 VLAN 고려 ESXi는 IEEE 802.1q VLAN을지원합니다. VLAN을사용하면물리적네트워크를세그먼트로나눌수있습니다. VLAN을사용하여 VM 네트워크나스토리지구성을추가적으로보호할수있습니다. VLAN을사용하는경우동일한물리적네트워크에있는두 VM이동일한 VLAN에속하지않는한서로패킷을주고받을수없습니다. VLAN 으로가상시스템보호의내용을참조하십시오. 가상화된스토리지에대 한연결보호 VM은운영체제파일, 프로그램파일및기타데이터를가상디스크에저장합니다. 각가상디스크는 VM에 SCSI 컨트롤러에연결된 SCSI 드라이브로표시됩니다. VM은스토리지세부정보와분리되었으며가상디스크가상주하는 LUN에대한정보에액세스할수없습니다. VMFS( 가상시스템파일시스템 ) 는가상볼륨을 ESXi 호스트에제공하는분산파일시스템및볼륨관리자입니다. 사용자는스토리지에대한연결을보호할책임이있습니다. 예를들어 iscsi 스토리지를사용하는경우 CHAP를사용하도록환경을설정할수있습니다. 회사정책에따라필요한경우상호 CHAP를설정할수있습니다. CHAP를설정하려면 vsphere Web Client 또는 CLI를사용합니다. 스토리지보안모범사례의내용을참조하십시오. IPSec 의사용평가 ESXi 는 IPv6 을통한 IPSec 을지원합니다. IPv4 를통한 IPSec 은사용 할수없습니다. 인터넷프로토콜보안의내용을참조하십시오. 또한 VMware NSX for vsphere 가환경의네트워킹계층보호에적합한솔루션인지평가합니다. VMware, Inc. 14
vsphere 환경의암호 vsphere 환경의암호제한, 암호만료및계정잠금은사용자의대상시스템이무엇인지, 사용자가 누구인지, 정책이어떻게설정되었는지에따라달라집니다. ESXi 암호 ESXi 암호제한은 Linux PAM 모듈 pam_passwdqc 에의해결정됩니다. pam_passwdqc 에대해 Linux manpage 를참조하고 ESXi 암호및계정잠금을참조하십시오. vcenter Server 및기타 vcenter 서비스에대한암호 vcenter Single Sign-On은 vcenter Server 및기타 vcenter 서비스에로그인하는모든사용자의인증을관리합니다. 암호제한, 암호만료및계정잠금은사용자의도메인과사용자가누구인지에따라달라집니다. vcenter Single Sign-On 관리자 vcenter Single Sign-On 관리자의암호는기본적으로 administrator@vsphere.local이며, 설치중다른도메인을지정한경우에는 administrator@mydomain입니다. 이암호는만료되지않습니다. 다른모든사용자의암호는 vcenter Single Sign-On 암호정책에설정된제한을따라야합니다. 자세한내용은 Platform Services Controller 관리항목을참조하십시오. 이사용자의암호를잊은경우 VMware 기술자료시스템에서암호재 설정에대한정보를찾아보십시오. 재설정하려면 vcenter Server 시스 템에대한루트액세스권한과같은추가적인권한이필요합니다. vcenter Single Sign-On 도메인의다 른사용자 다른 vsphere.local 사용자또는설치중지정한도메인의사용자에대한암호는 vcenter Single Sign-On 암호정책및잠금정책에의해설정된제한을따라야합니다. 자세한내용은 Platform Services Controller 관리항목을참조하십시오. 이러한암호는기본적으로 90일후에만료되지만관리자가암호정책의일부로만료날짜를변경할수있습니다. 자신의 vsphere.local 암호를잊은경우관리자가 dir-cli 명령을사용 하여암호를재설정할수있습니다. 기타사용자 다른모든사용자의암호제한, 암호만료및계정잠금은사용자가인증 할수있는도메인 (ID 소스 ) 에의해결정됩니다. vcenter Single Sign-On은하나의기본 ID 소스를지원하며사용자는자신의사용자이름만으로해당 vsphere Web Client 도메인에로그인할수있습니다. 사용자가기본값이아닌도메인에로그인하려는경우에는도메인이름을포함할수있습니다. 즉, user@domain 또는 domain\user를지정합니다. 도메인암호매개변수는각도메인에적용됩니다. VMware, Inc. 15
vcenter Server Appliance Direct Console User Interface 사용자의암호 vcenter Server Appliance 는 Linux 에서 vcenter Server 와관련서비스를실행하도록최적화 된, 미리구성된 Linux 기반가상시스템입니다. vcenter Server Appliance 를배포할때다음암호를지정합니다. 장치 Linux 운영체제루트사용자의암호 vcenter Single Sign-On 도메인 ( 기본적으로 administrator@vsphere.local) 관리자의암 호 장치콘솔에서루트사용자암호를변경하고기타 vcenter Server Appliance 로컬사용자관리작 업을수행할수있습니다. vcenter Server Appliance 구성를참조하십시오. 보안모범사례및리소스 모범사례를따르는경우 ESXi 및 vcenter Server가가상화를포함하지않는환경과동일하게또는그이상으로안전할수있습니다. 이설명서에는 vsphere 인프라의다양한구성요소에대한모범사례가포함되어있습니다. 표 1 1. 보안모범사례 vsphere 구성요소 ESXi 호스트 vcenter Server 시스템가상시스템 vsphere 네트워킹 리소스 3장ESXi 호스트보안 vcenter Server 보안모범사례가상시스템보안모범사례 vsphere 네트워킹보안모범사례 이설명서는보안환경을보장하는데필요한소스중하나일뿐입니다. 보안경고및다운로드를포함한 VMware 보안리소스를웹에서사용할수있습니다. 표 1 2. 웹의 VMware 보안리소스 주제 VMware 보안정책, 최신보안경고, 보안다운로드및보안관련집중토론. 기업보안대응정책 리소스 http://www.vmware.com/go/security http://www.vmware.com/support/policies/security_response. html VMware는고객이안전한환경을유지할수있도록최선을다하고있습니다. 보안문제를적시에해결합니다. VMware 보안대응정책에는제품에서발생할수있는취약점을해결하기위해최선을다한다는약속이명시되어있습니다. VMware, Inc. 16
표 1 2. 웹의 VMware 보안리소스 ( 계속 ) 주제타사소프트웨어지원정책규정준수및보안표준, 파트너솔루션및가상화와규정준수에대한심층적인관련자료다양한버전의 vsphere 구성요소에대한 CCEVS, FIPS 등의보안인증및검증관련정보다양한버전의 vsphere 및기타 VMware 제품에대한강화가이드 VMware vsphere Hypervisor의보안백서 리소스 http://www.vmware.com/support/policies/ VMware는다양한스토리지시스템을지원하며백업에이전트와시스템관리에이전트같은소프트웨어에이전트를지원합니다. http://www.vmware.com/vmtn/resources/ 에서 ESXi 호환성가이드를검색하여 ESXi를지원하는에이전트, 도구및기타소프트웨어목록을찾을수있습니다. 업계에서는 VMware가테스트할수있는것보다훨씬많은제품과구성을제공합니다. VMware의호환성가이드에없는제품이나구성인경우기술지원에서문제해결에도움을줄수있지만제품이나구성을사용할수있다는보장을할수는없습니다. 지원되지않는제품이나구성에대해서는항상보안위험을주의하여평가하십시오. http://www.vmware.com/go/compliance https://www.vmware.com/support/supportresources/certifications.html https://www.vmware.com/support/supportresources/hardening-guides.html http://www.vmware.com/files/pdf/techpaper/vmw-wpsecrty-vsphr-hyprvsr-uslet-101.pdf VMware, Inc. 17
vsphere 사용권한및사용자관리작업 2 인증및권한부여를통해액세스가제어됩니다. vcenter Single Sign-On은인증을지원합니다. 즉, 사용자가 vsphere 구성요소에액세스할수있는지여부를결정합니다. 또한각사용자에게는 vsphere 개체를보거나조작할수있는권한이있어야합니다. vsphere에서는 vsphere의권한부여이해에서논의된몇가지의서로다른권한부여메커니즘을지원합니다. 이섹션의정보는 vcenter Server 사용권한모델과사용자관리작업을수행하는방법에초점을맞추고있습니다. vcenter Server에서는사용권한및역할을통해권한부여를세부적으로제어할수있습니다. vcenter Server 개체계층의개체에사용권한을할당할때해당개체에대해권한을가질사용자나그룹그리고그권한의내용을지정합니다. 권한을지정하려면일련의권한으로구성된역할을사용합니다. 처음에는기본적으로 vcenter Single Sign-On 도메인의관리자사용자인 administrator@vsphere.local만 vcenter Server 시스템에로그인할수있습니다. 이후이사용자는다음과같이계속할수있습니다. 1 vcenter Single Sign-On에대해사용자및그룹이정의되는 ID 소스를추가합니다. Platform Services Controller 관리설명서를참조하십시오. 2 가상시스템또는 vcenter Server 시스템과같은개체를선택하고사용자또는그룹에이개체에대한역할을할당하여사용자또는그룹에권한을부여합니다. 역할, 권한및사용권한 (http://link.brightcove.com/services/player/bcpid2296383276001? bctid=ref:video_roles_privileges_permissions_vsphere_web_client) 이장에서는다음주제에대해설명합니다. vsphere의권한부여이해 vcenter 구성요소에대한사용권한관리 글로벌사용권한 역할을사용하여권한할당 역할및권한에대한모범사례 일반작업에필요한권한 VMware, Inc. 18
vsphere 의권한부여이해 개체에대한사용권한을사용하여 vcenter 개체에대한작업수행권한을사용자또는그룹에부여합니다. vsphere 6.0 이상에서는권한이있는사용자가다른사용자에게작업을수행할수있는사용권한을할당할수있습니다. 글로벌사용권한을사용하거나, 로컬 vcenter Server 사용권한을사용하여개별 vcenter Server 인스턴스에대한권한을다른사용자에게부여할수있습니다. vcenter Server 사용 권한 글로벌사용권한 vcenter Server 시스템의사용권한모델은개체계층의계체에대한사용권한할당을사용합니다. 각사용권한은하나의사용자또는그룹에일련의권한, 즉선택된개체에대한역할을부여합니다. 예를들어개체계층에서 ESXi 호스트를선택하고역할을사용자그룹에할당하여해당사용자에게해당호스트에해당하는권한을부여할수있습니다. 글로벌사용권한은여러솔루션에걸쳐있는글로벌루트개체에적용됩니다. 예를들어 vcenter Server와 vrealize Orchestrator가모두설치된경우글로벌사용권한을사용하거나, 특정사용자그룹에두개체계층의모든개체에대한읽기권한을부여할수있습니다. 글로벌사용권한은 vsphere.local 도메인전체에복제됩니다. 글로벌 사용권한은 vsphere.local 그룹을통해관리되는서비스에대해권한 부여를제공하지않습니다. 글로벌사용권한의내용을참조하십시오. vsphere.local 그룹의그룹멤버자격 ESXi 로컬호스트사용권한 vcenter Single Sign-On 도메인 ( 기본적으로 administrator@vsphere.local) 의사용자는 Platform Services Controller에포함되어있는서비스와연결된작업을수행할수있습니다. vsphere.local 그룹의멤버는특정작업을수행할수있습니다. 예를들어 LicenseService.Administrators 그룹의멤버인경우라이센스관리를수행할수있습니다. Platform Services Controller 관리설명서를참조하십시오. vcenter Server 시스템을통해관리되지않는독립형 ESXi 호스트를관리하는경우미리정의된역할중하나를사용자에게할당할수있습니다. vsphere 단일호스트관리 - VMware Host Client 설명서를참조하십시오. 관리호스트의경우역할을 vcenter Server 인벤토리의 ESXi 호스트 개체에할당합니다. vcenter Server 권한모델이해 vcenter Server 시스템의권한모델은 vsphere 개체계층의계체에대한권한할당을사용합니다. 각권한 (permission) 은하나의사용자또는그룹에일련의권한 (privilege), 즉선택된개체에대한역할을부여합니다. VMware, Inc. 19
다음개념이중요합니다. 사용권한사용자및그룹권한역할 vcenter Server 개체계층의각개체에는연결된사용권한이있습니다. 각사용권한은그룹또는사용자가개체에대한권한을가지고있는하나의그룹또는사용자에대해지정됩니다. vcenter Server 시스템에서, 인증된사용자또는인증된사용자의그룹에만권한을할당할수있습니다. 사용자는 vcenter Single Sign-On 을통해인증됩니다. vcenter Single Sign-On에서인증하는데사용하는 ID 소스에서사용자및그룹을정의해야합니다. Active Directory 와같은 ID 소스에서도구를사용하여사용자및그룹을정의합니다. 권한은세분화된액세스제어입니다. 이러한권한을역할로그룹화한다음사용자또는그룹에매핑할수있습니다. 역할은권한의집합입니다. 역할을사용하여사용자가수행하는일련의일반작업을기반으로개체에대한사용권한을할당할수있습니다. 관리자와같은기본역할은 vcenter Server에미리정의되어있으며변경할수없습니다. 리소스풀관리자와같은기타역할은미리정의된샘플역할입니다. 사용자지정역할은처음부터생성하거나샘플역할을복제및수정하여생성할수있습니다. 사용자지정역할생성및역할복제항목을참조하십시오. 그림 2 1. vsphere 사용권한 사용권한 권한 권한 역할 vsphere 개체 권한 권한 사용자또는그룹 개체에권한을할당하려면다음단계를따르십시오. 1 vcenter 개체계층에서사용권한을적용할개체를선택합니다. 2 개체에대한권한을가져야하는그룹또는사용자를선택합니다. 3 개체에대해그룹또는사용자가가져야하는개별권한또는역할 ( 일련의권한 ) 을선택합니다. 기본적으로권한은전파됩니다. 즉그룹또는사용자는선택된개체와그하위개체에대해선택된역할을가집니다. vcenter Server는자주사용되는권한집합이결합된미리정의된역할을제공합니다. 역할집합을결합하여사용자지정역할을생성할수도있습니다. VMware, Inc. 20
많은경우소스개체및대상개체모두에대해사용권한을정의해야합니다. 예를들어, 가상시스템 을이동하는경우가상시스템에대한권한이필요하며대상데이터센터에대한권한도필요합니다. 다음정보를참조하십시오. 참조내용사용자지정역할생성모든권한그리고권한을적용할수있는개체다양한작업을위해다양한개체에필요한권한집합 참조위치사용자지정역할생성 11장정의된권한일반작업에필요한권한 독립형 ESXi 호스트에대한권한모델은더간단합니다. ESXi 호스트에대한권한할당의내용을참조하십시오. vcenter Server 사용자유효성검사디렉토리서비스를사용하는 vcenter Server 시스템은정기적으로사용자디렉토리도메인을기준으로사용자및그룹을검증합니다. vcenter Server 설정에지정된간격마다정기적으로검증이이루어집니다. 예를들어 Smith라는사용자에게여러개체에대한역할이할당되어있는경우도메인관리자가이름을 Smith2로바꾼다면다음번검증시호스트에서 Smith가더이상없다고결론짓고이사용자에연결된사용권한을 vsphere 개체에서제거합니다. 마찬가지로, 도메인에서사용자 Smith가제거되면다음유효성검사가수행될때해당사용자와연관된모든권한이제거됩니다. 다음에검증이수행되기전에새사용자 Smith가도메인에추가되면새사용자 Smith가개체에대한사용권한에있어이전사용자 Smith를대체합니다. 사용권한의계층적상속 개체에사용권한을할당할때사용권한을개체계층의하위개체로전파할지여부를선택할수있습니다. 각사용권한에대한전파를설정합니다. 전파는일괄적용되지않습니다. 하위개체에대해정의된사용권한이항상상위개체에서전파된사용권한을재정의합니다. 이그림에서는인벤토리계층과사용권한을전파할수있는경로를보여줍니다. 참고글로벌사용권한은글로벌루트개체의솔루션전체에대한권한할당을지원합니다. 글로벌사용권한를참조하십시오. VMware, Inc. 21
그림 2 2. vsphere 인벤토리계층구조 루트개체 ( 글로벌사용권한수준 ) 컨텐츠라이브러리 vcenter Server (vcenter Server 인스턴스수준 ) 태그범주 라이브러리항목 데이터센터폴더 태그 데이터센터 VM 폴더 호스트폴더 네트워크폴더 데이터스토어폴더 표준템플릿호스트 VDS 데이터스토어스위치 리소스풀 클러스터 분산포트그룹 데이터스토어클러스터 가상시스템 vapp vapp 가상시스템 리소스풀 vapp 가상시스템 리소스풀 가상시스템 대부분의인벤토리개체는계층에있는단일상위개체로부터사용권한을상속합니다. 예를들어데이터스토어는상위데이터스토어폴더또는상위데이터센터로부터사용권한을상속합니다. 가상시스템은상위가상시스템폴더및상위호스트, 클러스터또는리소스풀모두로부터동시에사용권한을상속합니다. 예를들어폴더나데이터센터와같은상위개체에대한사용권한을설정하여 Distributed Switch 및그와연결된분산포트그룹에대한사용권한을설정할수있습니다. 또한이사용권한을하위개체로전파하는옵션도선택해야합니다. VMware, Inc. 22
계층에는다음몇가지형식의사용권한이있습니다. 관리엔터티권한있는사용자는관리엔티티에대한사용권한을정의할수있습니다. 클러스터 데이터센터 데이터스토어 데이터스토어클러스터 폴더 호스트 네트워크 (vsphere Distributed Switch 제외 ) 분산포트그룹 리소스풀 템플릿 가상시스템 vsphere vapp 글로벌엔터티 루트 vcenter Server 시스템에서사용권한이파생되는엔티티에대한 사용권한을수정할수없습니다. 사용자지정필드 라이센스 역할 통계간격 세션 여러가지사용권한설정 개체에는여러권한이있을수있지만각사용자나그룹에는권한이하나만있을수있습니다. 예를들어, 한사용권한에서그룹 A가개체에대한관리자권한을갖도록지정할수있고다른사용권한에서그룹 B가같은개체에대해가상시스템관리자권한을갖도록지정할수있습니다. 한개체가두상위개체로부터사용권한을상속하면한개체의사용권한이다른개체의사용권한에추가됩니다. 예를들어, 한가상시스템이가상시스템폴더에있고리소스풀에도속하는경우해당가상시스템은가상시스템폴더와리소스풀모두에서모든사용권한설정을상속합니다. 하위개체에적용된권한은항상상위개체에적용된권한을재정의합니다. 예 2: 상위사용권한을재정의하는하위사용권한의내용을참조하십시오. VMware, Inc. 23
여러그룹사용권한이동일한개체에대해정의되고사용자가이들그룹중둘이상에속하게되면다음과같은두가지상황이가능합니다. 해당개체에대한사용자의권한이직접적으로정의되지않은경우사용자는해당개체의그룹에할당된권한을갖습니다. 해당개체에대한사용자의권한이직접적으로정의된경우에는사용자의권한이모든그룹권한보다우선합니다. 예 1: 여러사용권한의상속이예제에서는상위개체에대한사용권한이부여된그룹에서한개체가여러사용권한을상속할수있는방법을보여줍니다. 이예제에서는동일한개체의두그룹에대해두개의사용권한이할당됩니다. 역할 1은가상시스템의전원을켤수있습니다. 역할 2는가상시스템의스냅샷을작성할수있습니다. 그룹 A에는사용권한이하위개체에전파되도록설정된 VM 폴더에대한역할 1이부여됩니다. 그룹 B는사용권한이하위개체에전파되도록설정된 VM 폴더에대한역할 2가부여됩니다. 사용자 1에는특정권한이할당되지않았습니다. 그룹 A 및 B에속한사용자 1이로그온합니다. 사용자 1은 VM A와 VM B의전원을켜고스냅샷을작성할수있습니다. 그림 2 3. 예 1: 여러사용권한의상속 그룹 A + 역할 1 그룹 B + 역할 2 VM 폴더 VM A VM B 사용자 1 은역할 1 과역할 2 의 권한이있음 예 2: 상위사용권한을재정의하는하위사용권한이예제에서는하위개체에할당된사용권한이상위개체에할당된사용권한을재정의할수있는방법을보여줍니다. 이재정의동작을사용하여사용자액세스를특정인벤토리영역으로제한할수있습니다. 이예에서는사용권한이서로다른두그룹의다른두개체에서정의됩니다. 역할 1은가상시스템의전원을켤수있습니다. 역할 2는가상시스템의스냅샷을작성할수있습니다. 그룹 A에는사용권한이하위개체에전파되도록설정된 VM 폴더에대한역할 1이부여됩니다. 그룹 B에는 VM B에대한역할 2가부여됩니다. VMware, Inc. 24
그룹 A 및 B에속한사용자 1이로그온합니다. 역할 2는계층에서역할 1보다낮은지점에할당되어있으므로 VM B의역할 1을재정의합니다. 사용자 1은 VM A의전원을켤수있지만 VM A의스냅샷을작성할수는없습니다. 사용자 1은 VM B의스냅샷을작성할수있지만 VM B의전원을켤수는없습니다. 그림 2 4. 예 2: 상위사용권한을재정의하는하위사용권한 그룹 A + 역할 1 VM 폴더 VM A 사용자 1 은역할 1 의권한만있음 그룹 B + 역할 2 VM B 사용자 1 은역할 2 의권한만있음 예 3: 그룹역할을재정의하는사용자역할이예제는개별사용자에게직접할당된역할이그룹에할당된역할과연결된권한을재정의하는방법을보여줍니다. 이예제에서사용권한은동일한개체에서정의됩니다. 한사용권한은그룹을역할에연결하고, 다른사용권한은개별사용자를역할에연결합니다. 사용자는그룹의멤버입니다. 역할 1은가상시스템의전원을켤수있습니다. 그룹 A에는 VM 폴더에대한역할 1이부여됩니다. 사용자 1에는 VM 폴더에대한권한없음역할이부여됩니다. 사용자 1( 그룹 A에속함 ) 이로그인합니다. VM 폴더에대해사용자 1에게부여된권한없음역할이그룹에할당된역할을재정의합니다. 사용자 1은 VM 폴더또는 VM A 및 B에액세스할수없습니다. 그림 2 5. 예 3: 그룹사용권한을재정의하는사용자사용권한 그룹 A + 역할 1 사용자 1 + 액세스권한없음 VM 폴더 VM A VM B 사용자 1 은해당폴더또는가상시스템에대한액세스권한이없음 vcenter 구성요소에대한사용권한관리 사용권한은 vcenter 개체계층의개체에설정됩니다. 각사용권한은개체를그룹또는사용자그리고그룹또는사용자의액세스역할과연결시킵니다. 예를들어하나의가상시스템개체를선택한후그룹 1에읽기전용역할을제공하는사용권한하나를추가하고사용자 2에관리자역할을제공하는두번째사용권한을추가할수있습니다. 여러개체에대한각기다른역할을사용자그룹에할당하여해당사용자가 vsphere 환경에서수행할수있는작업을제어합니다. 예를들어그룹이호스트의메모리를구성할수있도록허용하려면해당호스트를선택하고해당그룹에호스트. 구성. 메모리구성권한이포함된역할을부여하는사용권한을추가합니다. VMware, Inc. 25
vsphere Web Client 에서사용권한을관리하려면다음개념을이해해야합니다. 사용권한사용자및그룹권한역할 vcenter Server 개체계층의각개체에는연결된사용권한이있습니다. 각사용권한은그룹또는사용자가개체에대한권한을가지고있는하나의그룹또는사용자에대해지정됩니다. vcenter Server 시스템에서, 인증된사용자또는인증된사용자의그룹에만권한을할당할수있습니다. 사용자는 vcenter Single Sign-On 을통해인증됩니다. vcenter Single Sign-On에서인증하는데사용하는 ID 소스에서사용자및그룹을정의해야합니다. Active Directory 와같은 ID 소스에서도구를사용하여사용자및그룹을정의합니다. 권한은세분화된액세스제어입니다. 이러한권한을역할로그룹화한다음사용자또는그룹에매핑할수있습니다. 역할은권한의집합입니다. 역할을사용하여사용자가수행하는일련의일반작업을기반으로개체에대한사용권한을할당할수있습니다. 관리자와같은기본역할은 vcenter Server에미리정의되어있으며변경할수없습니다. 리소스풀관리자와같은기타역할은미리정의된샘플역할입니다. 사용자지정역할은처음부터생성하거나샘플역할을복제및수정하여생성할수있습니다. 사용자지정역할생성및역할복제항목을참조하십시오. 계층의다른수준에있는개체에사용권한을할당할수있습니다. 예를들어, 사용권한을특정호스트개체에할당하거나모든호스트개체를포함하는폴더개체에할당할수있습니다. 사용권한의계층적상속를참조하십시오. 또한글로벌루트개체에사용권한을할당하여모든솔루션에있는개체전체에사용권한을적용할수도있습니다. 글로벌사용권한를참조하십시오. 인벤토리개체에사용권한추가 사용자와그룹을생성하고역할을정의한후에는사용자와그룹및해당역할을관련인벤토리개체에할당해야합니다. 개체를폴더로이동한후폴더에사용권한을설정하여동일한사용권한을동시에여러개체에할당할수있습니다. vsphere Web Client에서사용권한을할당할때사용자및그룹이름이대소문자를포함하여 Active Directory와정확하게일치해야합니다. 이전버전의 vsphere에서업그레이드한경우그룹과관련한문제가발생하면대소문자불일치여부를확인합니다. 필수조건수정하려는사용권한이있는개체에대해사용권한. 사용권한수정권한을포함하는역할이있어야합니다. 프로시저 1 vsphere Web Client 개체탐색기에서사용권한을할당하려는개체를찾습니다. 2 사용권한탭을클릭합니다. 3 추가아이콘을클릭하고추가를클릭합니다. VMware, Inc. 26
4 선택된역할에따라정의된권한이있는사용자또는그룹을선택합니다. a 도메인드롭다운메뉴에서사용자또는그룹의도메인을선택합니다. b 검색상자에이름을입력하거나목록에서이름을선택합니다. 사용자이름, 그룹이름및설명이검색됩니다. c 사용자또는그룹을선택하고추가를클릭합니다. 사용자또는그룹목록에이름이추가됩니다. d ( 선택사항 ) 이름확인을클릭하여 ID 소스에해당사용자또는그룹이있는지확인합니다. e 확인을클릭합니다. 5 할당된역할드롭다운메뉴에서역할을선택합니다. 개체에할당되어있는역할이메뉴에나타납니다. 역할에포함된권한은역할제목아래의섹션에나열됩니다. 6 ( 선택사항 ) 전파를제한하려면하위개체로전파확인란을선택취소합니다. 선택한개체에만역할이적용되고하위개체에는전파되지않습니다. 7 확인을클릭하여사용권한을추가합니다. 사용권한변경 인벤토리개체에대해사용자나그룹및역할쌍을설정한후, 사용자나그룹에지정된역할을변경하거나전파확인란의설정을변경할수있습니다. 사용권한설정을제거할수도있습니다. 프로시저 1 vsphere Web Client 개체탐색기에서개체를찾습니다. 2 사용권한탭을클릭합니다. 3 행을클릭하여사용권한을선택합니다. 4 사용권한에대한역할변경아이콘을클릭합니다. 5 할당된역할드롭다운메뉴에서사용자나그룹의역할을선택합니다. 6 하위항목으로전파확인란을전환하여사용권한상속을변경하고확인을클릭합니다. 사용권한제거 개별사용자또는그룹의개체계층에서특정개체에대한사용권한을제거할수있습니다. 제거하는경우사용자또는그룹은해당개체에대한역할과관련된권한을더이상가질수없습니다. 참고시스템에의해사전정의된사용권한은제거할수없습니다. 프로시저 1 vsphere Web Client 개체탐색기에서개체를찾습니다. 2 사용권한탭을클릭합니다. VMware, Inc. 27
3 행을클릭하여사용권한을선택합니다. 4 사용권한제거아이콘을클릭합니다. 사용자검증설정변경 vcenter Server에서는사용자디렉토리에있는사용자와그룹을기준으로사용자및그룹목록을주기적으로검사합니다. 그런다음도메인에더이상존재하지않는사용자나그룹을제거합니다. 검증을사용하지않도록설정하거나검증간격을변경할수있습니다. 수천명의사용자나그룹을포함하는도메인이있는경우또는검색을완료하는데시간이오래걸리는경우검색설정조정을고려합니다. vcenter Server 5.0 이전 vcenter Server 버전의경우이러한설정이 vcenter Server와연결된 Active Directory에적용됩니다. vcenter Server 5.0 이상의경우이러한설정이 vcenter Single Sign-On ID 소스에적용됩니다. 참고이절차는 vcenter Server 사용자목록에만적용됩니다. ESXi 사용자목록을동일한방식으로검색할수없습니다. 프로시저 1 vsphere Web Client 개체탐색기에서 vcenter Server 시스템을찾습니다. 2 구성을선택하고설정아래에서일반을클릭합니다. 3 편집을클릭하고사용자디렉토리를선택합니다. 4 필요에따라값을변경합니다. 옵션사용자디렉토리시간초과쿼리제한쿼리제한크기 설명 Active Directory 서버에연결할때사용되는시간초과간격 ( 초단위 ) 입니다. 이값은 vcenter Server에서선택한도메인에대해검색이실행되도록허용하는최대시간을지정합니다. 대형도메인을검색하는데는오랜시간이걸릴수있습니다. vcenter Server에서표시하는최대사용자및그룹수를설정하려면이확인란을선택합니다. 사용자또는그룹선택대화상자의선택된도메인에서 vcenter Server가표시하는최대사용자및그룹수입니다. 0을입력하면모든사용자및그룹이표시됩니다. 검증검증을사용하지않도록설정하려면이확인란의선택을취소합니다. 검증기간 vcenter Server 에서사용권한을검증하는빈도 ( 분 ) 를지정합니다. 5 확인을클릭합니다. 글로벌사용권한 글로벌사용권한은여러솔루션에걸쳐있는글로벌루트개체에적용됩니다 ( 예 : vcenter Server 및 vrealize Orchestrator 둘다 ). 사용자또는그룹에전체개체계층의모든개체에대한권한을부여하려면글로벌사용권한을사용하십시오. VMware, Inc. 28
각솔루션의고유한개체계층에는루트개체가있습니다. 글로벌루트개체는모든솔루션의루트개체에대한상위개체역할을수행합니다. 사용자또는그룹에글로벌사용권한을할당하고각사용자또는그룹의역할을결정할수있습니다. 이역할은사용자또는그룹이계층의모든개체에대해가진권한집합을결정합니다. 미리정의된역할을할당하거나사용자지정역할을생성할수있습니다. 역할을사용하여권한할당을참조하십시오. vcenter Server 사용권한과글로벌사용권한을구분하는것이중요합니다. vcenter Server 사용 권한 글로벌사용권한 일반적으로 ESXi 호스트또는가상시스템과같은 vcenter Server 인벤토리개체에사용권한을적용합니다. 그럴경우사용자또는그룹이해당개체에대해일련의권한, 즉역할을가지도록지정합니다. 글로벌사용권한은배포의각인벤토리계층에있는모든개체를보거나관리할수있는권한을사용자또는그룹에부여합니다. 글로벌사용권한을할당하고 [ 전파 ] 를선택하지않으면이사용권한과연결된사용자또는그룹에게계층의개체에대한액세스권한이부여되지않습니다. 역할생성과같은일부글로벌기능에대한액세스권한만부여됩니다. 중요 글로벌사용권한을사용할때에는주의하십시오. 전체인벤토리계층의모든개체에사용권한 을할당하는것이맞는지확인하십시오. 글로벌사용권한추가 글로벌사용권한을사용하여배포내모든인벤토리계층의개체전체에대한권한을사용자또는그룹에제공할수있습니다. 중요글로벌사용권한을사용할때에는주의하십시오. 전체인벤토리계층의모든개체에사용권한을할당하는것이맞는지확인하십시오. 필수조건이작업을수행하려면모든인벤토리계층의루트개체에대한사용권한. 사용권한수정권한이있어야합니다. 프로시저 1 관리를클릭하고액세스제어영역에서글로벌사용권한을선택합니다. 2 관리를클릭하고사용권한추가아이콘을클릭합니다. 3 선택된역할에따라정의된권한이있는사용자또는그룹을선택합니다. a 도메인드롭다운메뉴에서사용자또는그룹의도메인을선택합니다. b 검색상자에이름을입력하거나목록에서이름을선택합니다. 사용자이름, 그룹이름및설명이검색됩니다. c 사용자또는그룹을선택하고추가를클릭합니다. 사용자또는그룹목록에이름이추가됩니다. VMware, Inc. 29
d ( 선택사항 ) 이름확인을클릭하여 ID 소스에해당사용자또는그룹이있는지확인합니다. e 확인을클릭합니다. 4 할당된역할드롭다운메뉴에서역할을선택합니다. 개체에할당되어있는역할이메뉴에나타납니다. 역할에포함된권한은역할제목아래의섹션에나열됩니다. 5 하위항목으로전파확인란을선택된상태로둘지여부를결정합니다. 글로벌사용권한을할당하고전파를선택하지않으면이사용권한과연결된사용자또는그룹에게계층의개체에대한액세스권한이부여되지않습니다. 역할생성과같은일부글로벌기능에대한액세스권한만부여됩니다. 6 확인을클릭합니다. 태그개체에대한사용권한 vcenter Server 개체계층에서, 태그개체는 vcenter Server의하위항목이아니지만 vcenter Server 루트수준에서생성됩니다. 여러 vcenter Server 인스턴스가있는환경에서태그개체는 vcenter Server 인스턴스간에공유됩니다. 태그개체에대한사용권한은 vcenter Server 개체계층의다른개체에대한사용권한과다른방식으로작동합니다. 글로벌사용권한또는태그개체에할당된사용권한만적용됨 특정사용자에게 ESXi 호스트또는가상시스템과같은 vcenter Server 인벤토리개체에대한사용 권한을부여하는경우사용자는해당개체에서태그작업을수행할수없습니다. 예를들어사용자인 Dana 에게호스트 TPA 에대한 vsphere 태그할당권한을부여하는경우해당 권한은 Dana 가호스트 TPA 에서태그를할당할수있는지여부에영향을주지못합니다. Dana 는루 트수준에서 vsphere 태그할당권한이있어야합니다. 즉, 글로벌사용권한이나태그개체에대한 권한이있어야합니다. 표 2 1. 글로벌사용권한및태그개체사용권한이사용자가수행할수있는작업에영향을미치는방식 vcenter Server 개체수준 글로벌사용권한 태그수준사용권한 사용권한 유효한사용권한 태그지정권한이할당되지않음 Dana에게태그에대한 vsphere 태그할당또는할당취소권한이있음 Dana에게 ESXi 호스트 TPA에대한 vsphere 태그삭제권한이있음 Dana에게태그에대한 vsphere 태그할당또는할당취소권한이있음 Dana에게 vsphere 태그할당또는할당취소권한이있음 태그에대해권한이할당되지않음 Dana에게 ESXi 호스트 TPA에대한 vsphere 태그삭제권한이있음 Dana에게 vsphere 태그할당또는할당취소글로벌권한이있음. 여기에는태그수준에서의권한이포함됨 태그지정권한이할당되지않음 태그에대해권한이할당되지않음 Dana에게 ESXi 호스트 TPA에대한 vsphere 태그할당또는할당취소권한이있음 Dana에게호스트 TPA를포함하여모든개체에대한태그지정권한이없음 VMware, Inc. 30
태그개체사용권한을보완하는글로벌사용권한글로벌사용권한, 즉루트개체에할당되는사용권한은태그개체에대한사용권한이더제한적일때태그개체에대한사용권한을보완합니다. vcenter Server 사용권한은태그개체에영향을미치지않습니다. 예를들어 vsphere 태그삭제권한을루트수준에서, 즉글로벌사용권한을사용하여사용자 Robin에게할당한다고가정합니다. 태그운영을위해 vsphere 태그삭제권한은 Robin에게할당하지않습니다. 이경우 Robin은글로벌사용권한이있으므로태그운영에대한권한도가집니다. 글로벌사용권한을수정하는경우가아니면권한을제한할수없습니다. 표 2 2. 태그수준사용권한을보완하는글로벌사용권한 글로벌사용권한태그수준사용권한유효한사용권한 Robin 에게 vsphere 태그삭제 권한이있음 태그지정권한이할당되지않음 Robin에게태그에대한 vsphere 태그삭제권한이없음 Robin에게태그에대해할당된 vsphere 태그삭제권한이없음 Robin 에게 vsphere 태그삭제권한이있음 Robin 에게 vsphere 태그삭제권한이없음 태그수준사용권한이글로벌사용권한을확장할수있음태그수준사용권한을사용하여글로벌사용권한을확장할수있습니다. 이것은사용자가하나의태그에대해글로벌사용권한과태그수준사용권한을모두가질수있음을의미합니다. 표 2 3. 태그수준사용권한을확장하는글로벌사용권한 글로벌사용권한태그수준사용권한유효한사용권한 Lee 에게 vsphere 태그할당또 는할당취소권한이있음 태그지정권한이할당되지않음 Lee에게 vsphere 태그삭제권한이있음 Lee에게태그에대해할당된 vsphere 태그삭제권한이있음 Lee에게태그에대한 vsphere 태그할당권한및 vsphere 태그삭제권한이있음 Lee에게태그에대해 vsphere 태그삭제권한이있음 역할을사용하여권한할당 역할이란미리정의된권한의집합입니다. 권한은작업을수행하고속성을읽기위한권한을정의합니다. 예를들어가상시스템관리자역할은사용자가가상시스템특성을읽고변경할수있도록허용합니다. 사용권한을할당할때사용자또는그룹을역할과쌍으로구성하고해당쌍을인벤토리개체와연결합니다. 단일사용자또는그룹은인벤토리에있는서로다른개체에대해각기다른역할을가질수있습니다. 예를들어인벤토리에풀 A와풀 B라는 2개의리소스풀이있는경우 Sales 그룹에게풀 A에는가상시스템사용자역할을할당하고풀 B에는읽기전용역할을할당할수있습니다. 이렇게할당된경우 Sales 그룹의사용자는풀 A에있는가상시스템을켤수있지만풀 B에있는가상시스템은볼수만있습니다. VMware, Inc. 31
vcenter Server 는기본적으로다음과같은시스템역할및샘플역할을제공합니다. 시스템역할 샘플역할 시스템역할은영구적입니다. 이러한역할과연결된권한은편집할수없습니다. VMware는자주수행되는특정작업조합에대한샘플역할을제공합니다. 이러한역할은복제하거나수정하거나제거할수있습니다. 참고샘플역할의미리정의된설정을손실하지않으려면먼저역할을복제한후복제본을수정합니다. 샘플을기본설정으로재설정할수없습니다. 사용자는작업이생성되는시점에해당작업을수행할권한이포함된역할을가지고있는작업만스케줄링할수있습니다. 참고역할및권한에대한변경사항은관련된사용자가로그인되어있더라도즉시적용됩니다. 검색의경우에는예외이며, 이경우에는사용자가로그아웃했다가다시로그인해야변경사항이적용됩니다. vcenter Server 및 ESXi 의사용자지정역할 vcenter Server 및 vcenter Server 가관리하는모든개체에대한사용자지정역할이나개별호 스트에대한사용자지정역할을생성할수있습니다. vcenter Server 사용 자지정역할 ( 권장 ) ESXi 사용자지정역할 vsphere Web Client의역할편집기능을사용하여사용자지정역할을생성하면사용자의필요에맞는권한집합을생성할수있습니다. CLI 또는 VMware Host Client를사용하여개별호스트에대한사용자지정역할을생성할수있습니다. vsphere 단일호스트관리 - VMware Host Client 설명서를참조하십시오. vcenter Server에서는사용자지정호스트역할에액세스할수없습니다. vcenter Server를통해 ESXi 호스트를관리하는경우호스트와 vcenter Server 모두에사용자지정역할을유지하지마십시오. vcenter Server 수준에서역할을정의합니다. vcenter Server를사용하여호스트를관리할때는해당호스트와연결된사용권한이 vcenter Server를통해생성되고 vcenter Server에저장됩니다. 호스트에직접연결할경우에는호스트에서직접생성된역할만사용할수있습니다. 참고사용자지정역할을추가하고역할에권한을할당하지않을경우해당역할이 3가지시스템정의권한 ( 시스템. 익명, 시스템. 보기, 시스템. 읽기 ) 을갖는읽기전용역할로생성됩니다. vsphere Web Client 에서역할생성 (http://link.brightcove.com/services/player/bcpid2296383276001? bctid=ref:video_creating_role_in_vsphere_webclient) VMware, Inc. 32
vcenter Server 시스템역할 역할이란미리정의된권한의집합입니다. 사용권한을개체에추가할때사용자또는그룹을역할과쌍으로구성해야합니다. vcenter Server에는변경할수없는여러시스템역할이포함되어있습니다. vcenter Server 시스템역할 vcenter Server는몇가지기본역할을제공합니다. 기본역할에연결된권한은수정할수없습니다. 기본역할은계층으로구성되며, 각역할은이전역할의권한을상속합니다. 예를들어관리자역할은읽기전용역할의권한을상속합니다. 사용자가생성하는역할은시스템역할의권한을상속하지않습니다. 관리자역할 개체에대한관리자역할을가진사용자는해당개체에대한모든작업을보고수행할수있습니다. 이역할에는읽기전용역할에내재된모든권한도포함됩니다. 개체에대한관리자역할로수행하는경우개별사용자및그룹에권한을할당할수있습니다. vcenter Server에서관리자역할로수행하는경우기본 vcenter Single Sign-On ID 소스의사용자및그룹에권한을할당할수있습니다. 지원되는 ID 서비스에는 Windows Active Directory 및 OpenLDAP 2.4가포함됩니다. 설치가완료되면기본적으로 administrator@vsphere.local 사용자는 vcenter Single Sign-On과 vcenter Server 모두에서관리자역할을갖습니다. 그런다음해당사용자는다른사용자를 vcenter Server 에대한관리자역할과연결할수있습니다. 암호화관리자없음역할 권한없음역할 개체에대해암호화관리자없음역할을가진사용자는암호화작업권한을제외하고관리자역할을가진사용자와동일한권한을가집니다. 이역할은관리자가가상시스템을암호화하거나암호를해독할수없고암호화된데이터에액세스할수없지만다른모든관리작업을수행할수있는다른관리자를지정할수있도록합니다. 개체에대해권한없음역할을가진사용자는어떠한방법으로든개체를보거나변경할수없습니다. 기본적으로새사용자및그룹은이역할이할당됩니다. 개체별로역할을변경할수있습니다. VMware, Inc. 33
vcenter Single Sign-On 도메인 ( 기본적으로 administrator@vsphere.local) 의관리자, 루트사용자및 vpxuser 에게는기본적으로관리자역할이할당됩니다. 다른사용자에게는기본적으로권한없음역할이할당됩니다. 읽기전용역할 개체에대해읽기전용역할을가진사용자는개체의상태및개체에대한세부정보를볼수있습니다. 예를들어이역할을가진사용자는가상시스템, 호스트및리소스풀특성을볼수있지만호스트의원격콘솔을볼수없습니다. 메뉴및도구모음을통한모든작업은허용되지않습니다. 가장좋은방법은루트수준에서사용자를생성하고해당사용자에게관리자역할을할당하는것입니 다. 관리자권한을가진명명된사용자를생성한후모든사용권한에서루트사용자를제거하거나해 당역할을권한없음으로변경할수있습니다. 사용자지정역할생성 환경의액세스제어요구에맞게 vcenter Server 사용자지정역할을생성할수있습니다. 역할을처음부터생성하거나기존역할을복제할수있습니다. 다른 vcenter Server 시스템과동일한 vcenter Single Sign-On 도메인의일부인 vcenter Server 시스템에서역할을생성또는편집할수있습니다. 이경우 VMware Directory Service(vmdir) 는역할변경사항을그룹내의다른모든 vcenter Server 시스템에전파합니다. 특정사용자및개체에대한역할할당은 vcenter Server 시스템간에공유되지않습니다. 필수조건관리자권한이있는사용자로로그인했는지확인합니다. 프로시저 1 vcenter Server에로그인합니다. 2 홈을선택하고관리 > 역할을클릭합니다. 3 역할을생성합니다. 옵션 설명 처음부터역할을생성하려면역할생성버튼을클릭합니다. 복제하여역할을생성하려면역할을선택하고역할복제버튼을클릭합니다. 자세한내용은 vcenter Server 시스템역할의내용을참조하십시오. 4 새역할의이름을입력합니다. 5 역할에대한권한을선택하거나선택취소합니다. 자세한내용은 11장정의된권한의내용을참조하십시오. 6 확인을클릭합니다. VMware, Inc. 34
후속작업 이제개체를선택하고해당개체의사용자또는그룹에역할을할당하여사용권한을생성할수있습니 다. 역할복제 기존역할의복사본을생성하고, 이름을변경하고, 기존역할을편집할수있습니다. 역할을복사하면새역할은사용자나그룹및개체에자동으로적용되지않으며사용자나그룹및개체에직접할당해야합니다. 다른 vcenter Server 시스템과동일한 vcenter Single Sign-On 도메인의일부인 vcenter Server 시스템에서역할을생성또는편집할수있습니다. 이경우 VMware Directory Service(vmdir) 는역할변경사항을그룹내의다른모든 vcenter Server 시스템에전파합니다. 특정사용자및개체에대한역할할당은 vcenter Server 시스템간에공유되지않습니다. 필수조건관리자권한이있는사용자로로그인했는지확인합니다. 프로시저 1 vsphere Web Client로 vcenter Server에로그인합니다. 2 홈을선택하고관리를클릭하고역할을클릭합니다. 3 역할을선택하고역할복제작업아이콘을클릭합니다. 4 복제된역할의이름을입력합니다. 5 역할의권한을선택하거나선택취소하고확인을클릭합니다. 역할편집 역할을편집할때이역할에선택된권한을변경할수있습니다. 작업이완료되면편집된역할이할당된사용자또는그룹에이러한권한이적용됩니다. 다른 vcenter Server 시스템과동일한 vcenter Single Sign-On 도메인의일부인 vcenter Server 시스템에서역할을생성또는편집할수있습니다. 이경우 VMware Directory Service(vmdir) 는역할변경사항을그룹내의다른모든 vcenter Server 시스템에전파합니다. 특정사용자및개체에대한역할할당은 vcenter Server 시스템간에공유되지않습니다. 필수조건관리자권한이있는사용자로로그인했는지확인합니다. 프로시저 1 vsphere Web Client로 vcenter Server에로그인합니다. 2 홈을선택하고관리를클릭하고역할을클릭합니다. 3 역할을선택하고역할편집작업버튼을클릭합니다. 4 역할의권한을선택하거나선택취소하고확인을클릭합니다. VMware, Inc. 35
역할및권한에대한모범사례 역할및사용권한에대한모범사례를활용하면 vcenter Server 환경의보안을강화하고관리용이성을높일수있습니다. vcenter Server 환경에서역할및사용권한을구성할때다음의모범사례를따르는것이좋습니다. 가능하면개별사용자보다는그룹에역할을할당합니다. 사용권한이필요한개체에만사용권한을부여하고, 권한이반드시있어야하는사용자또는그룹에만해당권한을할당합니다. 사용권한수를최소화하면사용권한구조를보다쉽게이해하고관리할수있습니다. 그룹에제한적인역할을할당할경우에는관리자사용자나관리권한을가진사용자가그룹에포함되어있지않은지확인합니다. 이러한사용자가만약있으면그룹에제한적인역할을할당한인벤토리계층의일부에서관리자의권한이의도하지않게제한될수있습니다. 폴더를사용하여개체를그룹화합니다. 예를들어한호스트집합에는수정권한을부여하고다른호스트집합에는보기권한을부여하려는경우각호스트집합을하나의폴더에배치합니다. 사용권한을루트 vcenter Server 개체에추가할때에는주의합니다. 루트수준의권한을가진사용자는 vcenter Server 설정, 역할, 사용자지정특성과같은 vcenter Server의글로벌데이터에액세스할수있습니다. 개체에사용권한을할당할때에는전파기능을사용하는것이좋습니다. 전파기능을사용하면개체계층의새개체가사용권한을상속하고사용자가해당개체를액세스할수있게됩니다. 계층의특정영역을마스킹하려면권한없음역할을사용합니다. 권한없음역할은해당역할이있는사용자또는그룹에대한액세스를제한합니다. 라이센스에대한변경내용은다음과같이전파됩니다. 동일한 Platform Services Controller에연결된모든 vcenter Server 시스템에 동일한 vcenter Single Sign-On 도메인의 Platform Services Controller 인스턴스에 라이센스전파는사용자에게모든 vcenter Server 시스템에대한권한이없는경우에도이루어집니다. 일반작업에필요한권한 대다수작업을수행하려면인벤토리에있는여러개체에대해권한이필요합니다. 작업을수행하려는사용자에게하나의개체에대한권한만있는경우작업을성공적으로완료할수없습니다. 다음표에는둘이상의권한이필요한일반작업이나와있습니다. 한명의사용자와미리정의된역할중하나또는여러권한을쌍으로연결하여인벤토리개체에사용권한을추가하거나권한집합을여러번할당할것으로예상되는경우사용자지정역할을생성합니다. VMware, Inc. 36
수행하려는작업이이표에없는경우다음규칙을사용하면특정작업을허용하기위해사용권한을할당해야하는경우를확인할수있습니다. 스토리지공간을사용하는모든작업에는대상데이터스토어에대한데이터스토어. 공간할당권한과작업자체를수행할수있는권한이필요합니다. 예를들어가상디스크를생성하거나스냅샷을생성하는경우이러한권한이있어야합니다. 인벤토리계층에서개체를이동하기위해서는개체자체, 소스상위개체 ( 예 : 폴더또는클러스터 ) 및대상상위개체에대한적절한권한이필요합니다. 각호스트와개체에는해당호스트또는클러스터의모든리소스가들어있는고유한암시적리소스풀이있습니다. 가상시스템을호스트나클러스터에직접배포하려면리소스. 리소스풀에가상시스템할당권한이필요합니다. 표 2 4. 일반작업에필요한권한작업필요한권한적용가능한역할 가상시스템생성대상폴더또는데이터센터에서다음을수행 : 가상시스템. 인벤토리. 새로생성 관리자 가상시스템. 구성. 새디스크추가 ( 새가상디스크를생성하는경우 ) 가상시스템. 구성. 기존디스크추가 ( 기존가상디스크를사용하는경우 ) 가상시스템. 구성. 원시디바이스 (RDM 또는 SCSI 패스스루디바이스를사용하는경우 ) 대상호스트, 클러스터또는리소스풀에서다음을수행 : 리소스. 리소스풀에가상시스템할당대상데이터스토어또는데이터스토어를포함한폴더에서다음을수행 : 데이터스토어. 공간할당가상시스템이할당될네트워크에서다음을수행 : 네트워크. 네트워크할당가상시스템전원켜기가상시스템이배포되는데이터센터에서다음을수행 : 가상시스템. 상호작용. 전원켜기가상시스템또는가상시스템의폴더에서다음을수행 : 가상시스템. 상호작용. 전원켜기템플릿에서가상시스템배포대상폴더또는데이터센터에서다음을수행 : 가상시스템. 인벤토리. 기존항목에서생성 리소스풀관리자또는관리자데이터스토어소비자또는관리자네트워크소비자또는관리자가상시스템고급사용자또는관리자관리자 가상시스템. 구성. 새디스크추가 템플릿또는템플릿의폴더에서다음을수행 : 가상시스템. 프로비저닝. 템플릿배포대상호스트, 클러스터또는리소스풀에서다음을수행 : 리소스. 리소스풀에가상시스템할당대상데이터스토어또는데이터스토어의폴더에서다음을수행 : 데이터스토어. 공간할당가상시스템이할당될네트워크에서다음을수행 : 네트워크. 네트워크할당 관리자관리자데이터스토어소비자또는관리자네트워크소비자또는관리자 VMware, Inc. 37
표 2 4. 일반작업에필요한권한 ( 계속 ) 작업필요한권한적용가능한역할 가상시스템스냅샷작성가상시스템또는가상시스템의폴더에서다음을수행 : 가상시스템. 스냅샷관리. 스냅샷생성 가상시스템고급 사용자또는관리 자 가상시스템을리소스풀로이동가상시스템에게스트운영체제설치 vmotion으로가상시스템마이그레이션가상시스템콜드마이그레이션 ( 재배치 ) 가상시스템또는가상시스템의폴더에서다음을수행 : 리소스. 리소스풀에가상시스템할당 가상시스템. 인벤토리. 이동대상리소스풀에서다음을수행 : 리소스. 리소스풀에가상시스템할당가상시스템또는가상시스템의폴더에서다음을수행 : 가상시스템. 상호작용. 질문에응답 가상시스템. 상호작용. 콘솔상호작용 가상시스템. 상호작용. 디바이스연결 가상시스템. 상호작용. 전원끄기 가상시스템. 상호작용. 전원켜기 가상시스템. 상호작용. 재설정 가상시스템. 상호작용.CD 미디어구성 (CD에서설치하는경우 ) 가상시스템. 상호작용. 플로피미디어구성 ( 플로피디스크에서설치하는경우 ) 가상시스템. 상호작용.VMware Tools 설치설치미디어 ISO 이미지가들어있는데이터스토어에서다음을수행 : 데이터스토어. 데이터스토어찾아보기 ( 데이터스토어의 ISO 이미지에서설치하는경우 ) 설치미디어 ISO 이미지를업로드하는데이터스토어에서다음을수행 : 데이터스토어. 데이터스토어찾아보기 데이터스토어. 하위수준파일작업가상시스템또는가상시스템의폴더에서다음을수행 : 리소스. 전원이켜진가상시스템마이그레이션 리소스. 리소스풀에가상시스템할당 ( 대상이소스와다른리소스풀인경우 ) 대상호스트, 클러스터또는리소스풀에서다음을수행 ( 소스와다른경우 ): 리소스. 리소스풀에가상시스템할당가상시스템또는가상시스템의폴더에서다음을수행 : 리소스. 전원이꺼진가상시스템마이그레이션 리소스. 리소스풀에가상시스템할당 ( 대상이소스와다른리소스풀인경우 ) 대상호스트, 클러스터또는리소스풀에서다음을수행 ( 소스와다른경우 ): 리소스. 리소스풀에가상시스템할당대상데이터스토어에서다음을수행 ( 소스와다른경우 ): 데이터스토어. 공간할당 관리자관리자가상시스템고급사용자또는관리자가상시스템고급사용자또는관리자리소스풀관리자또는관리자리소스풀관리자또는관리자리소스풀관리자또는관리자리소스풀관리자또는관리자데이터스토어소비자또는관리자 VMware, Inc. 38
표 2 4. 일반작업에필요한권한 ( 계속 ) 작업필요한권한적용가능한역할 Storage vmotion 을사용하 여가상시스템마이그레이션 가상시스템또는가상시스템의폴더에서다음을수행 : 리소스. 전원이켜진가상시스템마이그레이션대상데이터스토어에서다음을수행 : 데이터스토어. 공간할당 리소스풀관리자또는관리자데이터스토어소비자또는관리자 호스트를클러스터로이동호스트에서다음을수행 : 호스트. 인벤토리. 클러스터에호스트추가대상클러스터에서다음을수행 : 호스트. 인벤토리. 클러스터에호스트추가 관리자 관리자 VMware, Inc. 39
ESXi 호스트보안 3 ESXi 하이퍼바이저아키텍처에는 CPU 분리, 메모리분리및디바이스분리와같은여러내장보안기능이있습니다. 향상된보안을위해잠금모드, 인증서교체및스마트카드인증과같은추가기능을구성할수있습니다. ESXi 호스트는방화벽으로도보호됩니다. 필요에따라송수신트래픽을위해포트를열수있지만서비스및포트에대한액세스를제한해야합니다. ESXi 잠금모드를사용하고 ESXi Shell에대한액세스를제한하면해당환경의보안을한층더강화할수있습니다. vsphere 6.0부터 ESXi 호스트는인증서인프라에참여합니다. 기본적으로 VMCA(VMware Certificate Authority) 에서서명된인증서를사용하여호스트가프로비저닝됩니다. ESXi 보안에대한자세한내용은 VMware 백서 VMware vsphere Hypervisor 보안을참조하십시오. 이장에서는다음주제에대해설명합니다. 호스트프로파일을사용하여 ESXi 호스트구성 일반 ESXi 보안권장사항 ESXi 호스트에대한인증서관리 보안프로파일을사용하여호스트사용자지정 ESXi 호스트에대한권한할당 Active Directory를통해 ESXi 사용자관리 vsphere Authentication Proxy 사용 ESXi에대한스마트카드인증구성 ESXi Shell 사용 ESXi 호스트를위한 UEFI 보안부팅 ESXi 로그파일 호스트프로파일을사용하여 ESXi 호스트구성 호스트프로파일을통해 ESXi 호스트에대해표준구성을설정하고이러한구성설정에대한규정준수를자동화할수있습니다. 호스트프로파일을통해메모리, 스토리지, 네트워킹등을포함하여호스트구성의다양한측면을제어할수있습니다. VMware, Inc. 40
vsphere Web Client에서참조호스트에대한호스트프로파일을구성하고호스트프로파일을참조호스트의특징을공유하는모든호스트에적용할수있습니다. 또한호스트프로파일을사용하여호스트에서호스트구성변경내용을모니터링할수도있습니다. vsphere 호스트프로파일설명서를참조하십시오. 호스트프로파일을클러스터에연결하여클러스터의모든호스트에적용할수도있습니다. 프로시저 1 규격에맞게참조호스트를설정하고호스트프로파일을생성합니다. 2 프로파일을호스트나클러스터에연결합니다. 3 참조호스트의호스트프로파일을다른호스트나클러스터에적용합니다. 일반 ESXi 보안권장사항 인증되지않은침입및잘못된이용으로부터 ESXi 호스트를보호하기위해 VMware는몇가지매개변수, 설정및작업에제약을가합니다. 구성요구사항을충족하기위해이제약조건을완화할수있습니다. 그렇게할경우신뢰할수있는환경에서작업중인지확인한후다른보안조치를취합니다. 기본제공보안기능 호스트에대한위험이다음과같이기본적으로최소화됩니다. ESXi Shell 및 SSH는기본적으로사용하지않도록설정됩니다. 제한된수의방화벽포트만기본적으로열립니다. 특정서비스에연결된추가방화벽포트를명시적으로열수있습니다. ESXi는해당기능을관리하는데필수적인서비스만실행합니다. 이배포는 ESXi를실행하는데필요한기능에제한됩니다. 기본적으로호스트에대한관리액세스에필요하지않은모든포트는닫혀있습니다. 추가서비스가필요한경우포트를엽니다. 기본적으로보안에취약한암호화는사용하지않도록설정되며클라이언트로부터의통신에는 SSL 보안이적용됩니다. 채널의보안유지에서사용되는정확한알고리즘은 SSL 핸드셰이크에따라다릅니다. ESXi에서생성된기본인증서는 RSA 암호화가적용된 PKCS#1 SHA-256을서명알고리즘으로사용합니다. Tomcat 웹서비스는웹클라이언트의액세스를지원하기위해 ESXi에의해내부적으로사용됩니다. 이서비스는웹클라이언트가관리및모니터링을위해필요로하는기능만실행하도록수정되었습니다. 따라서 ESXi는다양한용도로 Tomcat에대해보고되는보안문제에취약하지않습니다. VMware는 ESXi 보안에영향을미칠수있는모든보안경고를모니터링하고필요한경우보안패치를실행합니다. VMware, Inc. 41
FTP 및 Telnet과같은안전하지않은서비스는설치되지않으며이러한서비스용포트는기본적으로닫혀있습니다. SSH 및 SFTP와같은더안전한서비스를쉽게사용할수있으므로이러한안전하지않은서비스를사용하지말고더안전한서비스를사용합니다. 예를들어 SSH를사용할수없지만 Telnet을사용해야하는경우 SSL 기반 Telnet을사용하여가상직렬포트에액세스합니다. 안전하지않은서비스를사용해야하고호스트에대한충분한보안대책을구현한경우이를지원하기위해포트를명시적으로열수있습니다. ESXi 시스템에대해 UEFI 보안부팅사용을고려합니다. ESXi 호스트를위한 UEFI 보안부팅를참조하십시오. 추가보안대책 호스트보안및관리를평가할때는다음권장사항을고려하십시오. 액세스제한 DCUI(Direct Console User Interface) 에대한액세스를사용하도록 설정한경우 ESXi Shell 또는 SSH 는강한액세스보안정책을시행합 니다. ESXi Shell 에는호스트의특정부분에대한액세스권한이있습니다. ESXi Shell 로그인액세스는신뢰할수있는사용자에게만제공하십시 오. 관리호스트에직접액세 스하지않음 vsphere Web Client 를사용하여 vcenter Server 로관리되는 ESXi 호스트를관리합니다. VMware Host Client 를통해직접관리호스트 에액세스하지말고 DCUI 에서관리호스트를변경하지마십시오. 스크립팅인터페이스또는 API 를사용하여호스트를관리하는경우호스 트를직접대상으로하지마십시오. 대신호스트를관리하는 vcenter Server 시스템을대상으로하고호스트이름을지정하십시오. 문제해결을위해서만 DCUI 사용 ESXi 구성요소를업그레이드할때는 VMware 소스만사용합니다. 문제해결을위해서만 DCUI 또는 ESXi Shell에서루트사용자로호스트에액세스하십시오. GUI 클라이언트중하나또는 VMware CLI 또는 API 중하나를사용하여 ESXi 호스트를관리합니다. ESXi Shell 또는 SSH를사용하는경우액세스권한이있는계정을제한하고시간초과를설정합니다. 호스트는관리인터페이스또는수행해야하는작업을지원하기위해다양한타사패키지를실행합니다. VMware는 VMware 소스에서전송되는이러한패키지로의업그레이드만지원합니다. 다른소스의다운로드나패치를사용하면관리인터페이스보안또는기능이제대로작동하지않을수있습니다. 타사벤더사이트및 VMware 기술자료에서보안경고를확인합니다. 참고 VMware 보안권고 (http://www.vmware.com/security/) 를따르십시오. VMware, Inc. 42
스크립트를사용하여호스트구성설정관리 다수의호스트가포함된환경에서는스크립트를사용한호스트관리가 vsphere Web Client에서호스트를관리하는것보다빠르고오류발생률이낮습니다. vsphere에는호스트관리를위한여러스크립팅언어가포함되어있습니다. 참조정보및프로그래밍팁은 vsphere 명령줄설명서및 vsphere API/SDK 설명서를참조하고스크립트로작성된관리에대한추가팁은 VMware 커뮤니티를참조하십시오. vsphere 관리자설명서는관리를위한 vsphere Web Client 사용을중점적으로다룹니다. vsphere PowerCLI VMware vsphere PowerCLI 는 vsphere API 에대한 Windows PowerShell 인터페이스입니다. vsphere PowerCLI 에는 vsphere 구성요소관리를위한 PowerShell cmdlet 이포함되어있습니다. vsphere PowerCLI 에는 200 개가넘는 cmdlet, 샘플스크립트집합, 관리및자동화를위한기능라이브러리가포함되어있습니다. vsphere PowerCLI 설명서를참조하십시오. vcli(vsphere Command-Line Interface) vcli에는 ESXi 호스트및가상시스템관리를위한명령집합이포함되어있습니다. vsphere SDK for Perl도설치하는설치관리자는 Windows 또는 Linux 시스템을실행하고 ESXCLI 명령, vicfg- 명령및기타 vcli 명령집합을설치합니다. vsphere Command-Line Interface 설명서를참조하십시오. vsphere 6.0부터는 vcloud Suite SDK for Python과같은 vcloud Suite SDK에대한스크립팅인터페이스중하나를사용할수도있습니다. 프로시저 1 제한된권한을가진사용자지정역할을생성합니다. 예를들어호스트관리를위한권한집합을가지고있지만가상시스템, 스토리지또는네트워킹관리를위한권한을가지고있지않은역할을생성하는것을고려합니다. 사용할스크립트가정보를추출하기만하는경우호스트에대한읽기전용권한을가진역할을생성할수있습니다. 2 vsphere Web Client에서서비스계정을생성하고사용자지정역할에할당합니다. 특정호스트에대한액세스권한을매우제한하고자하는경우각기다른수준의액세스권한을가진여러사용자지정역할을생성할수있습니다. VMware, Inc. 43
3 매개변수검사또는수정을수행하는스크립트를작성한후실행합니다. 예를들어다음과같이호스트의셸대화형시간초과를검사하거나설정할수있습니다. 언어 vcli(esxcli) 명령 esxcli <conn_options> system settings advanced get /UserVars/ESXiShellTimeOut esxcli --formatter=csv --format-param=fields="path,int Value" system settings advanced list grep /UserVars/ESXiShellTimeOut PowerCLI #List UserVars.ESXiShellInteractiveTimeOut for each host Get-VMHost Select Name, @{N="UserVars.ESXiShellInteractiveTimeOut";E={$_ Get-AdvancedSetting -Name UserVars.ESXiShellInteractiveTimeOut Select -ExpandProperty Value}} # Set UserVars.ESXiShellTimeOut to 900 on all hosts Get-VMHost Foreach { Get-AdvancedSetting -Entity $_ -Name UserVars.ESXiShellInteractiveTimeOut Set-AdvancedSetting -Value 900 } 4 대규모환경에서각기다른액세스권한을가진역할을생성하고수행할작업에따라호스트를폴 더로그룹화합니다. 그런다음다양한서비스계정에서다른폴더를통해스크립트를실행합니다. 5 명령을실행한후에발생한변경내용을확인합니다. ESXi 암호및계정잠금 ESXi 호스트에대해미리정의된요구사항이있는암호를사용해야합니다. Security.PasswordQualityControl 고급옵션을사용하여암호문구를허용하거나필수길이및문자클래스요구사항을변경할수있습니다. ESXi에서는암호관리및제어를위해 Linux PAM 모듈 pam_passwdqc를사용합니다. 자세한정보는 pam_passwdqc의매뉴얼페이지를참조하십시오. 참고 ESXi 암호에대한기본요구사항은특정릴리스에서다음릴리스로변경될수있습니다. Security.PasswordQualityControl 고급옵션을사용하여기본암호제한을확인및변경할수있습니다. ESXi 암호 ESXi에서는 DCUI(Direct Console User Interface), ESXi Shell, SSH 또는 VMware Host Client로부터의액세스에대해암호요구사항을적용합니다. 기본적으로암호를생성할때소문자, 대문자, 숫자및특수문자 ( 예 : 밑줄또는대시 ) 와같은 4개의문자클래스의문자조합을포함해야합니다. 기본적으로암호길이는 7보다길고 40보다작습니다. VMware, Inc. 44
사전에나오는단어또는사전에나오는단어의일부를암호에사용할수없습니다. 참고 암호를시작할때의대문자는사용된문자클래스수에포함되지않습니다. 암호가끝날때의숫 자도사용된문자클래스수에포함되지않습니다. ESXi 암호예 다음암호후보는옵션이다음과같이설정되었을때설정가능한암호를보여줍니다. retry=3 min=disabled,disabled,disabled,7,7 이설정에서는처음 3개항목이사용되지않도록설정되기때문에 1개또는 2개의문자클래스및암호문구가있는암호가허용되지않습니다. 3개및 4개의문자클래스의암호에는 7개의문자가필요합니다. 자세한내용은 pam_passwdqc 매뉴얼페이지를참조하십시오. 이러한설정에서는다음암호가허용됩니다. xqatehb!: 세가지문자클래스의문자 8개를포함합니다. xqat3#a: 네가지문자클래스의문자 7개를포함합니다. 다음암호후보는요구사항을충족하지않습니다. Xqat3hi: 대문자로시작되기때문에유효한문자클래스수가 2개로줄어듭니다. 필수문자클래스의수는최소 3개입니다. xqateh2: 숫자로끝나기때문에유효한문자클래스가 2개로줄어듭니다. 필수문자클래스의수는최소 3개입니다. ESXi 암호문구암호대신암호문구를사용할수도있지만암호문구는기본적으로사용되지않도록설정됩니다. vsphere Web Client에서 Security.PasswordQualityControl 고급옵션을사용하여이설정또는다른설정을변경할수있습니다. 예를들어옵션을다음으로변경할수있습니다. retry=3 min=disabled,disabled,16,7,7 이예에서는공백으로구분된최소 16 자및최소 3 단어의암호문구를허용합니다. 레거시호스트의경우 /etc/pamd/passwd 파일변경이계속지원되지만이후릴리스에서는더이상지원 되지않습니다. 대신 Security.PasswordQualityControl 고급옵션을사용합니다. 기본암호제한변경 ESXi 호스트에대해 Security.PasswordQualityControl 고급옵션을사용하여암호또는암호문구에대한기본제한을변경할수있습니다. ESXi 고급옵션설정에대한자세한내용은 vcenter Server 및호스트관리설명서를참조하십시오. VMware, Inc. 45
예를들어, 다음과같이최소 15 개의문자와최소 4 개의단어가필요하도록기본값을변경할수있습 니다. retry=3 min=disabled,disabled,15,7,7 passphrase=4 자세한내용은 pam_passwdqc의매뉴얼페이지를참조하십시오. 참고 pam_passwdqc에대한가능한모든옵션의조합이테스트되지는않았습니다. 기본암호설정을변경한후추가테스트를수행합니다. ESXi 계정잠금동작 vsphere 6.0부터 SSH 및 vsphere Web Services SDK를통한액세스에대해계정잠금이지원됩니다. DCUI(Direct Console Interface) 및 ESXi Shell은계정잠금을지원하지않습니다. 기본적으로, 계정이잠기기전에최대 10번의시도실패가허용되고 2분후에는계정에대한잠금이해제됩니다. 로그인동작구성다음고급옵션을사용하여 ESXi 호스트에대한로그인동작을구성할수있습니다. Security.AccountLockFailures. 사용자계정이잠길때까지허용되는최대로그인시도실패횟수입니다. 0으로설정하면계정잠금사용이해제됩니다. Security.AccountUnlockTime. 사용자가잠기게되는시간 ( 초 ) 입니다. ESXi 고급옵션설정에대한자세한내용은 vcenter Server 및호스트관리설명서를참조하십시오. SSH 보안 SSH를사용하여 ESXi Shell에원격으로로그인하고호스트에대한문제해결작업을수행할수있습니다. ESXi에서는 SSH 구성이향상되어보다높은수준의보안이제공됩니다. 버전 1 SSH 프로토콜 사용안함 VMware 에서는버전 1 SSH 프로토콜을지원하지않으며버전 2 프로 토콜만사용합니다. 버전 2 는버전 1 에서발생하던몇가지보안문제를 해결하고관리인터페이스와통신하는안전한방법을제공합니다. 향상된암호화수준 SSH는연결에 256비트및 128비트 AES 암호화만지원합니다. 이러한설정은 SSH를통해관리인터페이스로전송하는데이터를강력하게보호하기위한것입니다. 이러한설정은변경할수없습니다. ESXi SSH 키 SSH 키로 ESXi 호스트에대한액세스를제한, 제어및보호할수있습니다. SSH 키를사용하면신뢰할수있는사용자또는스크립트가암호를지정하지않고호스트에로그인하도록허용할수있습니다. VMware, Inc. 46
vifs vsphere CLI 명령을사용하여 SSH 키를호스트에복사할수있습니다. vsphere CLI 명령집합을설치및사용하는방법에대한자세한내용은 vsphere Command-Line Interface 시작을참조하십시오. 또한 HTTPS PUT를사용하여호스트에 SSH 키를복사할수도있습니다. 외부에서키를생성하여업로드하는대신 ESXi 호스트에서키를생성하고다운로드할수있습니다. VMware 기술자료문서 1002866를참조하십시오. SSH를사용하도록설정하고호스트에 SSH 키를추가하면위험이수반됩니다. 사용자이름및암호가노출될위험과신뢰할수있는키를가진사용자가침입할위험을비교하여판단하십시오. 참고 ESXi 5.0 이전버전의경우 SSH 키가있는사용자는호스트가잠금모드인경우에도호스트에액세스할수있습니다. ESXi 5.1부터 SSH 키가있는사용자가더이상잠금모드의호스트에액세스할수없습니다. vifs 명령을사용하여 SSH Key 업로드 SSH를통해인증된키를사용하여호스트에로그인하려는경우 vifs 명령을사용하여인증된키를업로드해야합니다. 참고인증된키를사용하면사용자인증이필요없이 SSH 액세스가가능하므로환경에서 SSH 키를사용할지여부를신중하게고려해야합니다. 인증키를통해호스트에대한원격액세스를인증할수있습니다. 사용자또는스크립트가 SSH를사용하여호스트에액세스하려고할때키가암호없이인증을제공합니다. 인증키를사용하면인증을자동화할수있으므로정기적인작업을수행할스크립트를작성할때유용합니다. 다음유형의 SSH 키를호스트에업로드할수있습니다. 루트사용자에대한인증된키파일 RSA 키 RSA 공용키 vsphere 6.0 업데이트 2 릴리스부터 DSS/DSA 키가더이상지원되지않습니다. 중요 /etc/ssh/sshd_config 파일을수정하지마십시오. 이렇게하면변경사항을호스트데몬 (hostd) 에서알지못합니다. VMware, Inc. 47
프로시저 u 명령줄또는관리서버에서 vifs 명령을사용하여 SSH 키를 ESXi 호스트의적절한위치로업로 드합니다. vifs --server hostname --username username --put filename /host/ssh_host_dsa_key_pub 키의유형루트사용자에대한인증된키파일 RSA 키 RSA 공용키 위치 /host/ssh_root_authorized keys 이파일을업로드하려면전체관리자권한이있어야합니다. /host/ssh_host_rsa_key /host/ssh_host_rsa_key_pub HTTPS PUT를사용하여 SSH 키업로드 SSH를사용하여인증키로호스트에로그인할수있습니다. HTTPS PUT를사용하여인증된키를업로드할수있습니다. 인증키를통해호스트에대한원격액세스를인증할수있습니다. 사용자또는스크립트가 SSH를사용하여호스트에액세스하려고할때키가암호없이인증을제공합니다. 인증키를사용하면인증을자동화할수있으므로정기적인작업을수행할스크립트를작성할때유용합니다. HTTPS PUT를사용하여다음유형의 SSH 키를호스트로업로드할수있습니다. 루트사용자에대한인증키파일 DSA 키 DSA 공용키 RSA 키 RSA 공용키 중요 /etc/ssh/sshd_config 파일을수정하지마십시오. 프로시저 1 업로드애플리케이션에서키파일을엽니다. 2 파일을다음위치에게시합니다. 키의유형루트사용자에대한인증된키파일 DSA 키 DSA 공용키 RSA 키 RSA 공용키 위치 https://hostname_or_ip_address/host/ssh_root_authorized_keys 이파일을업로드하려면호스트에대한전체관리자권한이있어야합니다. https://hostname_or_ip_address/host/ssh_host_dsa_key https://hostname_or_ip_address/host/ssh_host_dsa_key_pub https://hostname_or_ip_address/host/ssh_host_rsa_key https://hostname_or_ip_address/host/ssh_host_rsa_key_pub VMware, Inc. 48
PCI 와 PCIe 디바이스및 ESXi VMware DirectPath I/O 기능을사용하여 PCI 또는 PCIe 디바이스를가상시스템에전달하면잠재적인보안취약성이발생합니다. 버그성코드나악성코드 ( 예 : 디바이스드라이버 ) 가게스트운영체제에서권한이있는모드로실행되면취약성이유발될수있습니다. 현재는업계표준하드웨어및펌웨어에서 ESXi 호스트를취약성으로부터보호할수있는충분한오류억제가지원되지않습니다. 신뢰할수있는엔티티가가상시스템을소유하고관리하는경우에만가상시스템에대한 PCI 또는 PCIe 패스스루를사용하십시오. 이엔티티가가상시스템에서호스트를충돌시키거나악용하려고시도하지않는지확인해야합니다. 사용중인호스트가다음방법중하나로손상될수있습니다. 게스트 OS가복구할수없는 PCI 또는 PCIe 오류를생성할수있습니다. 이러한오류는데이터를손상시키지는않지만 ESXi 호스트가충돌되게할수있습니다. 통과하는하드웨어디바이스의버그또는비호환성으로인해서나게스트운영체제의드라이버관련문제로인해이러한오류가발생할수있습니다. 게스트운영체제가 ESXi 호스트에서 IOMMU 페이지장애를일으키는 DMA(Direct Memory Access) 작업을생성할수있습니다. 예를들어 DMA 작업이가상시스템의메모리외부주소를대상으로하는경우이작업이생성될수있습니다. 일부시스템에서호스트펌웨어는 IOMMU 장애가 NMI(Non-Maskable Interrupt) 를통해치명적인오류를보고하도록구성하고이치명적인오류로인해 ESXi 호스트가충돌하게됩니다. 게스트 OS의드라이버관련문제로인해이문제가발생할수있습니다. ESXi 호스트의운영체제가인터럽트재매핑을사용하고있지않은경우게스트 OS가벡터의 ESXi 호스트에가상인터럽트를주입할수있습니다. 현재 ESXi는인터럽트재매핑이사용가능한 Intel 플랫폼에서인터럽트재매핑을사용합니다. 인터럽트매핑은 Intel VT-d 기능세트의일부입니다. ESXi는 AMD 플랫폼에서인터럽트매핑을사용하지않습니다. 가상인터럽트는 ESXi 호스트의충돌을일으킬가능성이높으며이론적으로는이러한가상인터럽트를악용하는다른방법이존재할수있습니다. MOB(Managed Object Browser) 사용안함 MOB(Managed Object Browser) 에서는 VMkernel 개체모델을탐색할수있습니다. 그러나 MOB를사용하여호스트구성을변경할수있기때문에공격자는이인터페이스를사용하여악의적인구성변경이나작업을수행할수있습니다. 디버깅목적에만 MOB를사용하고운영시스템에서는사용하지않도록설정합니다. vsphere 6.0부터 MOB는기본적으로사용하지않도록설정됩니다. 하지만특정태스크 ( 예 : 시스템에서이전인증서추출 ) 의경우 MOB를사용해야합니다. 다음과같이 MOB를사용하거나사용하지않도록설정할수있습니다. 프로시저 1 vsphere Web Client에서호스트를선택하고고급시스템설정으로이동합니다. 2 Config.HostAgent.plugins.solo.enableMob의값을확인하고필요한경우변경합니다. ESXi Shell에서 vim-cmd를사용하지마십시오. VMware, Inc. 49
ESXi 네트워킹보안권장사항 ESXi 환경의보안을유지하기위해서는네트워크트래픽을분리하는일이필수적입니다. 필요한액세스및분리수준은네트워크마다다릅니다. ESXi 호스트에서는여러가지네트워크를사용합니다. 각각의네트워크에대해적절한보안수단을사용하고특정애플리케이션및기능에대해트래픽을분리합니다. 예를들어 VMware vsphere vmotion 트래픽이가상시스템이있는네트워크를통해이동하지않도록합니다. 분리기능을활용하면스누핑이방지됩니다. 분리된네트워크를사용하면성능측면에서도도움이됩니다. vsphere 인프라네트워크는 vsphere vmotion, VMware vsphere Fault Tolerance, 스토리지같은기능에사용됩니다. 해당하는특정기능에맞게이러한네트워크를분리합니다. 이러한네트워크를단일물리적서버랙외부로라우팅할필요는거의없습니다. 관리네트워크에서는클라이언트트래픽, CLI( 명령줄인터페이스 ) 또는 API 트래픽및타사소프트웨어트래픽을다른트래픽으로부터분리합니다. 이네트워크에는시스템관리자, 네트워크관리자및보안관리자만액세스할수있어야합니다. 관리네트워크에대한액세스를보호하려면점프박스 (jump-box) 또는 VPN(Virtual Private Network) 을사용하십시오. 이네트워크내의액세스는엄격하게제어합니다. 가상시스템트래픽은하나또는여러개의네트워크를통해이동할수있습니다. 가상네트워크컨트롤러에방화벽규칙을설정하는가상방화벽솔루션을사용하여가상시스템의분리수준을향상시킬수있습니다. 이러한설정은 vsphere 환경내에서가상시스템이호스트간에마이그레이션될때가상시스템과함께옮겨집니다. ESXi 웹프록시설정수정 웹프록시설정을수정할때고려해야할몇가지암호화및사용자보안지침이있습니다. 참고호스트디렉토리또는인증메커니즘을변경한후에는호스트프로세스를다시시작합니다. 암호또는암호문구를사용하는인증서를설정하지마십시오. ESXi는암호화된키라고도하는암호또는암호문구를사용하는웹프록시를지원하지않습니다. 암호또는암호문구가필요한웹프록시를설정하면 ESXi 프로세스가올바르게시작되지않습니다. 사용자이름, 암호및패킷에대한암호화를지원하려면 vsphere Web Services SDK 연결에대해 SSL을기본적으로사용하도록설정해야합니다. 이러한연결이전송을암호화하지않도록구성하려면 HTTPS의연결을 HTTP로전환하여 vsphere Web Services SDK 연결에대해 SSL을사용하지않도록설정합니다. 이들클라이언트에대해방화벽이제대로작동하고호스트와의전송이완전히분리되는완전히신뢰할수있는환경을만든경우에만 SSL을사용하지않도록설정해야합니다. SSL을사용하지않도록설정하면암호화를수행하는데필요한오버헤드가방지되므로성능이향상됩니다. VMware, Inc. 50
ESXi 서비스가잘못사용되지않도록대부분의내부 ESXi 서비스는 HTTPS 전송에서사용되는포트 443을통해서만액세스할수있습니다. 포트 443은 ESXi에대해역방향프록시로작동합니다. ESXi의서비스목록은 HTTP 시작페이지를통해볼수있지만적절한권한부여없이는스토리지어댑터서비스에직접액세스할수없습니다. 개별서비스가 HTTP 연결을통해직접액세스가능하도록이구성을변경할수있습니다. 완전히신뢰할수있는환경에서 ESXi를사용하는것이아니라면이러한변경을수행하지마십시오. 환경을업그레이드할때인증서는그대로유지됩니다. vsphere Auto Deploy 보안고려사항 vsphere Auto Deploy를사용할때는네트워킹보안, 부팅이미지보안및호스트프로파일을통한암호노출가능성에주의를기울여서환경을보호해야합니다. 네트워킹보안다른 PXE 기반배포방법을사용할때네트워크를보호하는것과마찬가지로네트워크를보호해야합니다. vsphere Auto Deploy는 SSL을통해데이터를전송함으로써일반적인간섭및스누핑을방지합니다. 그러나 PXE 부팅동안에는클라이언트나 Auto Deploy 서버에대한신뢰성이확인되지않습니다. Auto Deploy가사용되는네트워크를완전히분리하면 Auto Deploy의보안위험을대폭줄일수있습니다. 부팅이미지및호스트프로파일보안 vsphere Auto Deploy 서버에서시스템에다운로드하는부팅이미지에는다음과같은구성요소가포함될수있습니다. 이미지프로파일을구성하는 VIB 패키지는항상부팅이미지에포함됩니다. 호스트프로파일또는호스트사용자지정을사용하여호스트를프로비저닝하도록 Auto Deploy 규칙이설정된경우호스트프로파일및호스트사용자지정이부팅이미지에포함됩니다. 호스트프로파일및호스트사용자지정과함께포함되는관리자 ( 루트 ) 암호와사용자암호는 MD5로암호화됩니다. 프로파일과연결된다른암호는암호화되지않습니다. 호스트프로파일을사용하여 Active Directory를설정하는경우에는암호가보호되지않습니다. Active Directory 암호의노출을방지하기위해 vsphere Authentication Proxy를사용합니다. 호스트프로파일을사용하여 Active Directory를설정하면암호가보호되지않습니다. 호스트의공용및개인 SSL 키와인증서가부팅이미지에포함됩니다. VMware, Inc. 51
CIM 기반하드웨어모니터링도구에대한액세스제어 CIM( 공통정보모형, Common Information Model) 시스템에서는표준 API 집합을사용하여원격애플리케이션에서하드웨어수준관리를사용할수있게해주는인터페이스를제공합니다. CIM 인터페이스의보안을유지하려면이러한원격애플리케이션에필요한최소한의액세스권한만제공합니다. 루트또는관리자계정으로원격애플리케이션을프로비저닝하며애플리케이션이손상된경우가상환경이손상될수있습니다. CIM은 ESXi 호스트의하드웨어리소스를에이전트없이표준에따라모니터링하기위한프레임워크를정의하는개방형표준입니다. 이프레임워크는 CIM 개체관리자 (CIM 브로커라고도함 ) 와일련의 CIM 제공자로구성됩니다. CIM 제공자는디바이스드라이브및기본하드웨어에대한관리액세스를지원합니다. 서버제조업체및하드웨어디바이스벤더를포함한하드웨어벤더는디바이스를모니터링및관리하는제공자를쓸수있습니다. VMware는서버하드웨어, ESXi 스토리지인프라및가상화관련리소스를모니터링하는제공자를씁니다. 이러한제공자는 ESXi 호스트내부에서실행되며경량이고특정관리작업에초점을맞춥니다. CIM 브로커는모든 CIM 제공자로부터정보를가져오고표준 API를사용하여이를외부에표시합니다. 가장일반적인 API는 WS-MAN입니다. 원격애플리케이션에는 CIM 인터페이스에액세스하기위한루트자격증명을제공하지마십시오. 대신이러한애플리케이션에대한서비스계정을생성합니다. ESXi 시스템에정의된모든로컬계정과 vcenter Server에정의된모든역할에 CIM 정보에대한읽기전용액세스권한을부여합니다. 프로시저 1 CIM 애플리케이션에대한서비스계정을생성합니다. 2 CIM 정보를수집하는 ESXi 호스트에대한서비스계정읽기전용액세스권한을부여합니다. 3 ( 선택사항 ) 애플리케이션에쓰기액세스권한이필요한경우 2개의권한만있는역할을생성합니다. Host.Config.SystemManagement Host.CIM.CIMInteraction 4 모니터링하는각 ESXi 호스트에대해사용자지정역할을서비스계정과연결하는사용권한을생성합니다. 역할을사용하여권한할당를참조하십시오. ESXi 호스트에대한인증서관리 vsphere 6.0 이상에서 VMCA(VMware Certificate Authority) 는기본적으로 VMCA를루트인증서로가지고있는서명된인증서로새로운각 ESXi 호스트를프로비저닝합니다. 프로비저닝은호스트가 vcenter Server에명시적으로추가되거나 ESXi 6.0 이상으로의업그레이드또는설치의일부로추가될때발생합니다. vsphere Web Client에서그리고 vsphere Web Services SDK에서 vim.certificatemanager API를사용하여 ESXi 인증서를보고관리할수있습니다. vcenter Server 인증서관리에사용할수있는인증서관리 CLI를사용하여 ESXi 인증서를보거나관리할수없습니다. VMware, Inc. 52