(L1) Ensure the Image Profile VIB acceptance level is configured properly (Automated)
Profile Applicability
- Level 1 (L1) – Corporate/Enterprise Environment (general use)
Description
VIB (vSphere Installation Bundle) مجموعهای از فایلها است که در یک آرشیو بسته بندی میشوند. VIB حاوی یک فایل امضا است که برای تأیید سطح اعتماد استفاده میشود. ESXi Image Profile از چهار سطح پذیرش VIB پشتیبانی میکند:
- VMware Certified – VIBهایی که توسط VMware ایجاد، تست و امضا شدهاند.
- VMware Accepted – VIBهایی که توسط شریک VMware ایجاد شدهاند اما توسط VMware تست و امضا شدهاند.
- Partner Supported – VIBهایی که توسط شریک معتبر VMware ایجاد، تست و امضا شدهاند.
- Community Supported – VIBهایی که توسط VMware یا شریک VMware آزمایش نشدهاند.
Rationale
ESXi Image Profile باید فقط به VIBهای امضا شده اجازه دهد زیرا یک VIB بدون امضا نشان دهنده کد تست نشده نصب شده بر روی میزبان ESXi است. همچنین، استفاده از VIBهای بدون امضا باعث میشود که Hypervisor Secure Boot پیکربندی نشود. Community Supported – VIBها دارای امضای دیجیتال نیستند. برای محافظت از امنیت و یکپارچگی Hostهای ESXi خود، اجازه ندهید VIB های بدون امضا (Community Supported) روی Host شما نصب شوند.
Impact
VIBهای بدون امضا (Community Supported)) نمیتوانند در Host استفاده شوند.
Audit
برای تأیید سطح پذیرش Host Image Profile موارد زیر را انجام دهید:
- از vSphere Web Client، میزبان مورد نظر را انتخاب نمایید.
- بر روی Configure کلیک نموده و از زیرمجموعه System، قسمت Security Profile را انتخاب نمایید.
- اطمینان حاصل کنید که Host Image Profile Acceptance Level روی یکی از موارد Partner Supported، VMware Accepted یا VMware Certified تنظیم شده است.
به شکل زیر هم می توان این کار را انجام داد:
با استفاده از ESXi Shell یا vCLI به هر میزبان ESX/ESXi متصل شوید و دستور esxcli software acceptance get را اجرا کنید تا تأیید کنید که سطح پذیرش در Partner Supported، VMware Accepted یا VMware Certified تنظیم شده است.
با استفاده از vCLI به هر میزبان ESX/ESXi متصل شوید و دستور esxcli software vib list را اجرا کنید تا تأیید کنید که سطح پذیرش VIB برابر با Partner Supported، VMware Accepted یا VMware Certified تنظیم شده است.
علاوه بر این، ممکن است از دستور PowerCLI زیر استفاده شود:
Remediation
برای تأیید سطح پذیرش Host Image Profile موارد زیر را انجام دهید:
- از vSphere Web Client، میزبان مورد نظر را انتخاب نمایید.
- بر روی Configure کلیک نموده و از زیرمجموعه System، قسمت Security Profile را انتخاب نمایید.
- در بخش Host Image Profile Acceptance Level گزینه Edit را انتخاب نمایید.
- در لیست dropdown، یکی از گزینههای Partner Supported، VMware Accepted یا VMware Certified را انتخاب نمایید.
برای پیاده سازی وضعیت پیکربندی توصیه شده، دستور PowerCLI زیر را اجرا کنید (در کد مثال، سطح در نظر گرفته شده، گزینه Partner Supported است):
Default Value
Partner Supported