A segurança de rede no ambiente do vSphere compartilha muitas características de proteção de um ambiente de rede física, mas também inclui algumas características que se aplicam apenas a máquinas virtuais.
Firewalls
Adicione proteção de firewall à sua rede virtual instalando e configurando firewalls baseados em host em algumas ou todas as suas VMs.
Para maior eficiência, você pode configurar redes Ethernet de máquinas virtuais privadas ou redes virtuais. Com redes virtuais, você instala um firewall baseado em host em uma VM na cabeça da rede virtual. Esse firewall serve como um buffer de proteção entre o adaptador de rede física e as VMs restantes na rede virtual.
Os firewalls baseados em host podem reduzir o desempenho. Equilibre suas necessidades de segurança em relação às metas de desempenho antes de instalar firewalls baseados em host em VMs em outro lugar na rede virtual.
Consulte Protegendo a rede com firewalls.
Segmentação
Mantenha diferentes zonas de máquina virtual em um host em diferentes segmentos de rede. Se você isolar cada zona de máquina virtual em seu próprio segmento de rede, minimizará o risco de vazamento de dados de uma zona para a próxima. A segmentação impede várias ameaças, incluindo a falsificação do protocolo de resolução de endereços (ARP). Com a falsificação de ARP, um invasor manipula a tabela ARP para remapear endereços MAC e IP e obtém acesso ao tráfego de rede de e para um host. Os invasores usam a falsificação de ARP para gerar ataques man in the middle (MITM), executar ataques de negação de serviço (DoS), sequestrar o sistema de destino e, de outra forma, interromper a rede virtual.
O planejamento da segmentação reduz cuidadosamente as chances de transmissões de pacotes entre as zonas da máquina virtual. Portanto, a segmentação impede ataques de detecção que exigem o envio de tráfego de rede para a vítima. Além disso, um invasor não pode usar um serviço não seguro em uma zona de máquina virtual para acessar outras zonas de máquina virtual no host. Você pode implementar a segmentação usando uma das duas abordagens.
- Use adaptadores de rede física separados para zonas de máquina virtual para garantir que as zonas sejam isoladas. Manter adaptadores de rede física separados para zonas de máquina virtual é provavelmente o método mais seguro. Após a criação do segmento inicial. Essa abordagem é menos propensa a erros de configuração.
- Configure redes locais virtuais (VLANs) para ajudar a proteger sua rede. As VLANs fornecem quase todos os benefícios de segurança inerentes à implementação de redes fisicamente separadas sem a sobrecarga de hardware. As VLANs podem economizar o custo de implantação e manutenção de dispositivos adicionais, cabeamento e assim por diante. Consulte Protegendo máquinas virtuais com VLANs.
Impedindo o acesso não autorizado
- Se uma rede de máquina virtual estiver conectada a uma rede física, ela poderá estar sujeita a violações, assim como uma rede que consiste em máquinas físicas.
- Mesmo que você não conecte uma VM à rede física, a VM pode ser atacada por outras VMs.
As VMs são isoladas umas das outras. Uma VM não pode ler ou gravar a memória de outra VM, acessar seus dados, usar seus aplicativos e assim por diante. No entanto, dentro da rede, qualquer VM ou grupo de VMs ainda pode ser alvo de acesso não autorizado de outras VMs. Proteja suas VMs contra tais acessos não autorizados.
Para obter informações adicionais sobre a proteção de VMs, consulte o documento do NIST intitulado "Secure Virtual Network Configuration for Virtual Machine (VM) Protection" em:
