SCRITTO IL 22/05/2024

VCF

Gestione delle Password in VMware Cloud Foundation

Introduzione

Stiamo mantenendo una infrastruttura utilizzando i prodotti che mette a disposizione VMware: vSphere per la virtualizzazione, vSAN per lo storage, NSX per la rete.

Pensiamo alla complessità di dover configurare, aggiornare e mantenere ciascuno di questi componenti in maniera separata. Lavoro tedioso, prono ad errori. Grazie a VMware Cloud Foundation (VCF) non è più necessario farlo.

Cos'è VMware Cloud Foundation?

VMware Cloud Foundation è una piattaforma cloud completa che centralizza la gestione di tutte le componenti necessarie per gestire una infrastruttura on prem facilmente scalabile mediante una semplice UI fornita dall’SDDC Manager.

Per il suo funzionamento si basa su altri prodotti di VMware per gestire la virtualizzazione come:

vSphere: Virtualizzazione dell’ aspetto computing, composto da ESXi + vCenter appliance.
vSAN: Virtualizzazione dello storage.
NSX: Virtualizzazione della rete

VCF

La sua installazione, tramite un processo chiamato bringup, è automatizzata. L’amministratore non dovrà installare uno a uno ogni componente, partendo da degli host ESXi preparati, l’amministratore dovrà solo avviare il processo e i suoi componenti di base verranno installati automaticamente. Come ultima componente viene installato l’SDDC Manager per la gestione di tutti i componenti.

VCF è pensato per gestire operazioni multi-cloud, è in grado di gestire carichi tradizionali come macchine virtuali e carichi moderni quali container.

Tra le funzionalità che VMware Cloud Foundation porta per semplificare la gestione della infrastruttura vi è la gestione delle password di tutte le componenti che integra.

Password Manager in VMware Cloud Foundation

Nell’SDDC Manager, è presente una sezione per la gestione delle Password:

SDDC Manager Dashboard

Out of the box VCF permette di ruotare le password di tutte le credenziali delle sue componenti:

ESXI
vCenter
NSX
Password dei Backup
Platform Service Controllers

Ad eccezione delle credenziali ESXi, permette persino delle policy per la rotazione automatica delle password.

Operazione di ROTATE

La rotazione viene utilizzata per generare delle password casuali all’interno dei componenti che si vogliono ruotare. Può essere eseguita direttamente o schedulata:

– Se la rotazione delle password viene schedulata, il processo di cambio della password viene eseguito allo scattare della mezzanotte alla fine del giorno indicato (ad esempio, se la rotazione è impostata a 60 giorni, la rotazione avverrà alla fine del 60esimo giorno a mezzanotte)

-Le password che vengono generate rispettano una policy di default:

-Lunghezza di 20 caratteri

-Possiedono una maiuscola, un numero, uno dei caratteri speciali supportati

-Non più di due caratteri uguali consecutivi

Immagine3

Operazione di UPDATE

Tramite UPDATE la password che viene modificata nei componenti selezionati viene digitata e quindi scelta dall’amministratore. Si ricorda che la password deve rispettare i criteri di sicurezza di default dei componenti come per esempio il numero minimo di caratteri, 12 per NSX e 8 per le altre componenti.

Immagine4

Dopo la modifica come visualizzo le mie password?

Le password generate non possono essere visualizzate da questa interfaccia per questioni di sicurezza, per la gestione di questi componendi devono comunque essere salvate e sono disponibili alla visualizzazione tramite due possibilità dagli utenti che ne hanno i permessi:

-Loggandosi in SSH usando l’utente “vcf” nella appliance dell’ SDDC Manager, tramite comando lookup_passwords

-Tramite chiamate API REST messe a disposizione da VCF

In questa maniera l’accesso all’SDDC permette di visualizzare tutte le password dei suoi componenti.

E L’SDDC Manager?

Per modificare la password dell’SDDC Manager non è possibile farlo tramite UI o schedularne il cambiamento, in quanto senza quelle credenziali l’amministratore non può più accedere al sistema.

Per le password degli account root e vcf possono essere modificate accedendo in SSH tramite il comando passwd da linea di comando.

Per la password utilizzata per le chiamate API invece bisogna eseguire lo script set-basicauth-password.sh.

È consigliabile non mantenere tropo a lungo la stessa

E se modifico la password senza usare l’SDDC?

Quando viene installato un SDDC bisognerebbe eseguire le operazioni possibili tramite SDDC solo dall’SDDC, per evitare disallineamenti o instabilità.

Se la password di un componente si disallinea dai dati contenuti nell’SDDC Manager, è possibile andare a eseguire quello che viene chiamato REMEDIATE della password, una operazione in cui la password attualmente in uso all’interno di quel componente viene digitata dall’amministratore per riallineare il componente.

Il REMEDIATE viene impiegato anche se una password non venga ruotata prima della sua scadenza.

Conclusione

La gestione delle password in VMware Cloud Foundation (VCF) è essenziale per garantire la sicurezza delle credenziali di accesso ai componenti critici dell’infrastruttura. Grazie alle policy di rotazione automatica e alla gestione centralizzata tramite l’SDDC Manager, è possibile mantenere le password aggiornate e conformi ai criteri di sicurezza predefiniti.

Questo non solo semplifica l’amministrazione, ma migliora anche la sicurezza complessiva, riducendo il rischio di accessi non autorizzati. In breve, VCF rende la gestione delle password più efficiente e sicura.

 

A cura di Francesco Caiati