В частном облаке на базе VMware Cloud Foundation (VCF) идентификация — это первый рубеж защиты. Доступ к vCenter, NSX, SDDC Manager и VCF Operations осуществляется через корпоративного провайдера идентификации, а сетевые политики привязываются к конкретным пользователям и сервисам.
Всю тему «безопасность идентификации в VCF» удобно разбить на три слоя:
IAM — управление идентичностями и доступом: единый вход (SSO), федерация с корпоративным IdP, многофакторная аутентификация (MFA), ролевая модель (RBAC).
PAM — управление привилегированным доступом: отказ от «вечных» админских паролей, выдача привилегий по запросу (JIT), ротация секретов, запись сессий.
Zero Trust — нулевое доверие: непрерывная проверка, микросегментация средствами NSX DFW, политика «разрешено только то, что явно указано».
Эти слои работают вместе: IdP определяет «кто ты», RBAC определяет «что тебе можно», PAM контролирует привилегированные операции, а NSX DFW обеспечивает enforcement на уровне сети. Все события стекаются в единый аудит. Согласно NIST SP 800-207, Zero Trust исходит из того, что нахождение внутри сети не даёт никакого «неявного доверия» — каждая сессия требует явной аутентификации и авторизации.
Архитектура VCF и поверхность атаки
VCF — интегрированная платформа, которая автоматизирует развёртывание и жизненный цикл полного SDDC. В ней есть Management Domain (один на инстанс) для компонентов управления и отдельные Workload Domains для пользовательских нагрузок. Management Domain разворачивается через Cloud Builder и содержит SDDC Manager, vCenter Server и NSX Manager. Workload Domains создаются и управляются через SDDC Manager (VMware VCF Reference Architecture).
С точки зрения безопасности, в VCF четыре ключевых контура:
Виртуализация — vCenter и ESX, прямой доступ к гипервизорам.
В VCF 5.2.1 были предусмотрены три варианта SSO: общий домен через Enhanced Link Mode (ELM), изолированные SSO Workload Domains для многотенантности и федерация с внешними провайдерами идентификации (Identity Providers). Через VCF Operations можно централизованно включить federated SSO на всех vCenter и NSX Local Managers.
В VCF 9.0 появился VCF Identity Broker (VIDB) — компонент, который обеспечивает единый SSO для vSphere Client, NSX Manager, VCF Operations и других интерфейсов. VIDB поддерживает современные IdP (Entra ID, Okta, Ping, ADFS, generic SAML) и методы провижининга JIT/SCIM. Развёртывание возможно как embedded, так и в отдельном кластере для виртуальных модулей (аплаенсов).
VMware позиционирует VCF как «hardened out-of-the-box» с поддержкой RBAC, Identity Federation (Entra ID, Okta) и lateral security через vDefend/NSX.
IAM: SSO, федерация, RBAC и аудит
IAM в контексте VCF — это «сквозной» контур идентичности для доступа к vCenter, NSX, SDDC Manager и VCF Operations. Три ключевых элемента: аутентификация (SSO/IdP), авторизация (RBAC) и наблюдаемость (аудит).
vCenter SSO и источники идентичности (identity sources) - vCenter SSO обеспечивает единую аутентификацию для компонентов vSphere через механизм токенов — каждому компоненту не нужна отдельная проверка пользователя. Поддерживаются два варианта: федерация с внешним IdP и встроенный identity provider (vsphere.local), к которому можно подключить Active Directory через LDAP/LDAPS или Integrated Windows Authentication (этот метод уже признан устаревшим).
Федерация с корпоративным IdP - главное преимущество федерации — MFA и Conditional Access работают на стороне IdP, и сессии vCenter/NSX наследуют эти решения (учёт географии, риска, состояния устройства). VCF Operations поддерживает подключение AD FS, Azure AD, Okta, Ping и OAuth 2.0 на уровне управления парком (fleet management).
RBAC: минимально необходимые привилегии - VMware рекомендует: использовать именованные учётные записи, выдавать роль Administrator только тем, кому она реально нужна, создавать кастомные роли вместо глобальной админки и использовать отдельные учетные записи (service accounts) для приложений. Важный момент: vCenter автоматически ротирует пароль учетной записи vpxuser каждые 30 дней — это надо учитывать при интеграции с PAM (подробнее об этом рассказано тут).
Развертывание и управление жизненным циклом - в VCF 9 Identity Broker поддерживает JIT-провижининг и SCIM для современных IdP — группы из каталога автоматически маппятся на роли в компонентах VCF (подробнее об этом тут).
Аудит - VCF Operations включает Security Operations dashboard (user authentication, permissions), Event Auditing и Compliance Checks.
Сводная таблица IAM-возможностей:
Зона
Механизм
Протокол/подход
Что даёт
vCenter
vCenter SSO
Token exchange, встроенный или федеративный IdP
Единая аутентификация vSphere; подключение AD/LDAP; федерация с IdP
VCF (fleet management)
SSO и Identity Management
AD FS, Azure AD, Okta, Ping, OAuth 2.0
Единый вход на уровне нескольких компонентов
VCF 9
VCF Identity Broker (VIDB)
SAML/OIDC, JIT/SCIM
Унификация SSO для всех консолей управления; поддержка современных IdP
Авторизация
RBAC и кастомные роли
Минимальные привилегии, named accounts, группы
Снижение blast radius при компрометации учётной записи
На практике «эталонный» IAM для VCF выглядит так:
Внешний IdP обеспечивает MFA и Conditional Access.
В vCenter/NSX роли назначаются на группы IdP, а не на отдельных людей.
Локальные учётные записи остаются только как break-glass и закрываются через PAM.
Вся административная активность уходит в централизованный аудит.
Пример декларативной модели групп и ролей (формат для GitOps-подхода):
# Декларативная модель групп и ролей для VCF (псевдо-YAML)
identity:
idp: "entra-id" # или okta / ping / adfs
groups:
- name: "vcf-platform-admins"
description: "Полный доступ к инфраструктуре VCF"
- name: "vcf-vcenter-ops"
description: "Операторы vCenter: ограниченные привилегии"
- name: "vcf-nsx-secops"
description: "Сетевая безопасность: NSX DFW и сегментация"
- name: "vcf-audit-readonly"
description: "Аудиторы: только просмотр"
rbac:
vcenter:
- group: "vcf-platform-admins"
role: "Administrator"
scope: "global"
- group: "vcf-vcenter-ops"
role: "CustomRole-VirtualInfraOps"
scope: "Management-Domain"
nsx:
- group: "vcf-nsx-secops"
role: "Enterprise Admin"
scope: "default-space"
operations:
- group: "vcf-audit-readonly"
role: "ReadOnly-Audit"
PAM: JIT-доступ, ротация секретов и запись сессий
PAM нужен в VCF по двум причинам. Первая: многие операции требуют суперпользовательских привилегий (создание доменов, политика DFW, сертификаты, LCM), а «вечные» пароли — прямой путь к компрометации. Вторая: даже при федерации через IdP остаются локальные и сервисные учётные записи (break-glass, bootstrap, интеграции), которые должны быть под контролем.
Четыре ключевых возможности PAM:
Secret management — хранение и выдача паролей/ключей/токенов по запросу.
Credential rotation — автоматическая смена паролей по расписанию или после каждого использования.
Session recording — проксирование и запись SSH/RDP/веб-сессий.
Just-In-Time (JIT) — выдача привилегий на ограниченное время через workflow утверждения.
Реализовано это может быть с помощью следующих технологий:
CyberArk PSM — запись привилегированных сессий. CyberArk Privileged Session Manager (PSM) проксирует и записывает административные сессии, включая доступ к vSphere Client. Есть специальный веб-коннектор с поддержкой платформ 7.0, 8.0 и 9.0 — это позволяет работать в vSphere Client через прокси с записью, не раскрывая реальный пароль оператору. Записи хранятся локально до загрузки в vault, при этом оператору показывается уведомление о записи.
HashiCorp Vault — одноразовые пароли SSH. Vault генерирует одноразовый пароль (OTP) для каждой SSH-сессии. Helper-утилита на стороне целевого хоста проверяет OTP и удаляет его после использования. Каждая попытка входа логируется через audit device. Перехваченный OTP бесполезен — он уже использован.
BeyondTrust — ротация по политике. Поддерживается ручная ротация и автоматическая ротация (после каждого использования и по расписанию). Важно: у некоторых сервисных аккаунтов (например, run-as аккаунты в failover-кластерах) есть ограничения на ротацию — это нужно тестироватьы.
Сравнительная таблица PAM-подходов:
Решение
Сильные стороны
Ограничения
Основной кейс для VCF
CyberArk PSM
Запись сессий, веб-коннектор для vSphere, хранение записей в vault
Требует инфраструктуры PSM/PVWA; важен масштаб
Запись действий админов в vSphere/NSX, контроль break-glass
HashiCorp Vault
Динамические и одноразовые секреты, lease с TTL, audit device
Не заменяет session recording; нужен дизайн политик
JIT-доступ по SSH, секреты для CI/CD и автоматизации
BeyondTrust
Ротация после использования и по расписанию, политики на уровне учётных записей
Ограничения для некоторых сервисных аккаунтов
Ротация паролей компонентов управления
На практике PAM для VCF работает так:
Все локальные учётки (vCenter, NSX, SDDC Manager, ESX) хранятся и ротируются в PAM.
Интерактивный доступ идёт через прокси PAM с записью (особенно для веб-консолей).
Для автоматизации — сервисные учётки с минимальными правами и ротацией, либо одноразовые секреты через Vault.
Пример команд Vault для SSH OTP:
# Включение audit (все попытки доступа трассируются)
vault audit enable file file_path=/var/log/vault_audit.log
# Включение SSH secrets engine
vault secrets enable ssh
# Настройка роли OTP (адаптируйте cidr_list под вашу сеть)
vault write ssh/roles/vcf-ops-ssh-otp \
key_type=otp \
default_user=vcfops \
cidr_list=10.10.0.0/16
# Выпуск OTP для конкретного хоста
vault write ssh/creds/vcf-ops-ssh-otp ip=10.10.20.15
Zero Trust: NSX DFW и микросегментация
Zero Trust — это не продукт, а архитектурная дисциплина. Согласно NIST SP 800-207 - это модель, когда нахождение внутри корпоративной сети не даёт привилегий — каждый запрос к ресурсу требует явной аутентификации и авторизации.
Для VCF это означает четыре вещи:
Доступ к управлению — только через federated identity с MFA.
Внутренний трафик между виртуальными машинами не ингнорируется только потому, что он East-West.
Политика строится от приложений, а не от VLAN.
Все субъекты (люди, сервисы, устройства) наблюдаемы и проверяемы.
NSX Distributed Firewall
DFW реализован в ядре гипервизора: правила «переезжают» вместе с виртуальными машинами при vMotion/DRS, не зависят от гостевой ОС и масштабируются линейно. Это высокопроизводительная L4-фильтрация на уровне ядра.
VMware описывает три этапа пути к Zero Trust через DFW:
Сегментация по приложениям — правила Frontend > App > DB для каждого бизнес-приложения.
Микросегментация — VM-to-VM правила с deny-by-default.
Категории правил DFW. Порядок обработки: Ethernet > Emergency > Infrastructure > Environment > Application. VMware рекомендует проектировать правила по типу трафика, использовать теги и динамические группы, а также ограничивать поле Applied To для снижения нагрузки.
vDefend. Этот продукт дает расширенные сервисы безопасности за счет vDefend Firewall и vDefend Firewall with ATP, что обеспечивает комплексную безопасность Zero Trust lateral security. DFW выступает как механизм масштабируемой микросегментации.
Таблица Zero Trust-контролей в VCF:
Контроль
Реализация в VCF
Связка с IAM/PAM
Явная аутентификация и MFA
Federated SSO на vCenter/NSX/VCF Operations
IdP-группы > роли; break-glass через PAM
Минимизация зон доверия
DFW, deny by default
Изменения DFW — через RBAC + PAM с записью
Сегментация по приложениям
DFW категории, теги, динамические группы
Единая таксономия тегов, аудит изменений
Наблюдаемость
Event Auditing и Security Operations в VCF Operations
Корреляция с IdP-идентичностями; записи PAM-сессий
Пример NSX-политики для микросегментации приложения:
Для проверки политик используйте Traceflow и контроль hit-count перед переходом на deny-by-default.
Интеграционные сценарии: IAM + PAM + Zero Trust
Эти три дисциплины работают только вместе. Если вы используете только федерацию без микросегментации, тогда компрометация одного хоста даёт lateral movement. Микросегментация без PAM - и «вечные» пароли позволяют атакующему подбирать доступ. PAM без федерации — и десятки локальных учёток остаются без MFA.
Сценарий 1: многотенантность с изолированными SSO.
В VCF можно комбинировать Enhanced Link Mode для одних доменов и Isolated SSO Workload Domains для других — чтобы разделить управление между арендаторами. VCF FAQ описывает Isolated WLD и возможность централизованного включения federated SSO. Ключевые моменты: разные IdP-группы для разных доменов, микросегментация DFW по зонам (Environment) и приложениям (Application), один админ не может «видеть всё».
Сценарий 2: VCF 9 Identity Broker + MFA для всех консолей.
VCF 9 Identity Broker обеспечивает единый SSO для всех консолей управления с поддержкой Entra ID, Okta, Ping и generic SAML. Правила: MFA обязательна на уровне IdP, локальные логины запрещены вне break-glass, роли только на группах, привилегированные сессии — только через PAM-прокси с записью.
Сценарий 3: безопасная автоматизация Day-2 через Vault.
Пайплайны и CI/CD-роботы не хранят «вечных» паролей. SSH-доступ к jump-хостам — через одноразовые пароли Vault. Политика DFW применяется как код: PR > валидация JSON/YAML > применение через NSX API с минимальной сервисной ролью > запись в аудит.
Сценарий 4: реагирование на компрометацию учётной записи.
Если подозревается компрометация административной учётной записи, связка IAM+PAM+Zero Trust позволяет быстро ограничить ущерб:
Аудит — восстановление цепочки действий по записям PAM-сессий и Event Auditing в VCF Operations.
План внедрения и типичные ошибки
Фаза 1: IAM.
Выбрать модель SSO: ELM или Isolated WLD.
Подключить IdP и настроить MFA/Conditional Access. VCF Operations поддерживает AD FS, Azure AD, Okta, Ping, OAuth 2.0.
Создать группы в IdP и назначить роли на эти группы в vCenter/NSX.
Подключить vCenter к корпоративному источнику идентичности: федерация с IdP или AD через LDAP/IWA.
Фаза 2: PAM.
Инвентаризировать все локальные и сервисные учётки (vCenter, NSX, SDDC Manager, ESX).
Определить политику ротации (по расписанию или после использования). У BeyondTrust описаны опции и ограничения.
Подключить запись сессий для высокорисковых операций. CyberArk PSM имеет коннектор для vSphere.
Фаза 3: Zero Trust через NSX/vDefend.
Начать с зональной сегментации (Prod/Dev/Shared Services), затем перейти к приложениям и микросегментации. Этот путь описан в Well-Architected DFW.
Стандартизировать теги и динамические группы.
Включить логирование правил для расследований (по умолчанию DFW-логи отключены).
Фаза 4: операции и комплаенс.
Настроить Event Auditing и Compliance Checks в VCF Operations (VCF Operations).
В VCF 9 — использовать TLS 1.3 по умолчанию и desired-state configuration management (VCF 9 Security Blog).
Тестировать ротацию в непроизводственной среде, документировать runbooks.
Типичные ошибки:
Федерация без RBAC. Если все федеративные админы получают роль Administrator — вы просто перенесли риск в IdP. VMware рекомендует ограничивать Administrator и создавать кастомные роли.
Забытые сервисные учётки. vpxuser ротируется автоматически каждые 30 дней — это нужно учитывать при интеграции с PAM.
Deny-all без наблюдаемости. Микросегментация без мониторинга и Traceflow ведёт к простоям. VMware рекомендует итеративный путь: зоны > приложения > микросегментация.
Ротация без тестов. Некоторые сервисные аккаунты имеют ограничения на ротацию.
PAM без микросегментации. Компрометация jump host (хост для подключения к средствам управления инфраструктурой) при отсутствии DFW = lateral movement по всему SDDC.
Итоговая цель — замкнутая петля безопасности: IdP и RBAC определяют доступ, PAM контролирует привилегии, NSX/DFW обеспечивает enforcement у ресурса, а VCF Operations обеспечивает непрерывную проверку и расследуемость.
Итог
Identity Security в VMware Cloud Foundation - это не три отдельных проекта, а единая архитектурная дисциплина. IAM убирает анонимность и привязывает каждое действие к конкретной идентичности через федерацию и MFA. PAM закрывает неизбежные локальные и сервисные учётки - ротация, JIT-доступ и запись сессий превращают «вечный пароль» из постоянного риска в контролируемый инструмент. NSX DFW доводит принцип Zero Trust до уровня каждой ВМ - даже если учётка скомпрометирована, lateral movement упирается в микросегментацию. Связка работает: IdP определяет «кто», RBAC - «что можно», PAM контролирует «как именно», а DFW обеспечивает enforcement там, где находится ресурс.
На практике главное - не пытаться внедрить всё одновременно. Начните с федерации и строгого RBAC на группах, затем возьмите под контроль привилегированные учётки через PAM, а микросегментацию вводите поэтапно: зоны, приложения, VM-to-VM. На каждом этапе критична наблюдаемость — без аудита и логирования любая политика превращается в источник простоев вместо источника безопасности. VCF 9 с Identity Broker, TLS 1.3 по умолчанию и встроенными compliance checks делает этот путь проще, но архитектурные решения по-прежнему за вами.
RSS
