O sistema do ESXi é projetado para que você possa conectar alguns grupos de máquinas virtuais à rede interna, outros à rede externa e outros ainda a ambas - tudo no mesmo host. Esse recurso é uma conseqüência do isolamento básico da máquina virtual, juntamente com um uso bem planejado de recursos de rede virtual.

Figura 1. Redes externas, redes internas e uma DMZ configuradas em um único host ESXi
Um host é configurado em três zonas de máquina virtual distintas: servidor FTP, máquinas virtuais internas e DMZ.

Na figura, o administrador do sistema configurou um host em três zonas de máquina virtual distintas: servidor FTP, máquinas virtuais internas e DMZ. Cada zona tem uma função exclusiva.

Servidor FTP
A Máquina Virtual 1 é configurada com software FTP e atua como uma área de retenção para dados enviados de e para recursos externos, como formulários e materiais de apoio localizados por um fornecedor.
Esta máquina virtual está associada apenas a uma rede externa. Ele tem seu próprio switch virtual e adaptador de rede física que o conecta à Rede Externa 1. Essa rede é dedicada aos servidores que a empresa usa para receber dados de fontes externas. Por exemplo, a empresa usa a Rede Externa 1 para receber tráfego de FTP de fornecedores e permitir que os fornecedores acessem dados armazenados em servidores disponíveis externamente por meio de FTP. Além de atender à Máquina Virtual 1, a Rede Externa 1 atende a servidores FTP configurados em diferentes hosts ESXi em todo o site.
Como a Máquina Virtual 1 não compartilha um comutador virtual ou adaptador de rede física com nenhuma máquina virtual no host, as outras máquinas virtuais residentes não podem transmitir ou receber pacotes da rede da Máquina Virtual 1. Essa restrição impede ataques de detecção, que exigem o envio de tráfego de rede para a vítima. Mais importante ainda, um invasor não pode usar a vulnerabilidade natural do FTP para acessar qualquer uma das outras máquinas virtuais do host.
Máquinas virtuais internas
As máquinas virtuais de 2 a 5 são reservadas para uso interno. Essas máquinas virtuais processam e armazenam dados privados da empresa, como registros médicos, acordos legais e investigações de fraude. Como resultado, os administradores do sistema devem garantir o mais alto nível de proteção para essas máquinas virtuais.
Essas máquinas virtuais se conectam à Rede Interna 2 por meio de seu próprio switch virtual e adaptador de rede. A Rede Interna 2 é reservada para uso interno por pessoal, como processadores de reclamações, advogados internos ou revisores.
As máquinas virtuais 2 a 5 podem se comunicar umas com as outras por meio do switch virtual e com máquinas virtuais internas em outro lugar na rede interna 2 por meio do adaptador de rede física. Eles não podem se comunicar com máquinas externas. Como acontece com o servidor FTP, essas máquinas virtuais não podem enviar ou receber pacotes de outras redes de máquinas virtuais. Da mesma forma, as outras máquinas virtuais do host não podem enviar ou receber pacotes das Máquinas Virtuais 2 a 5.
DMZ
As máquinas virtuais de 6 a 8 são configuradas como uma DMZ que o grupo de marketing usa para publicar o site externo da empresa.
Este grupo de máquinas virtuais está associado à Rede Externa 2 e à Rede Interna 1. A empresa usa a Rede Externa 2 para oferecer suporte aos servidores da Web que usam o departamento de marketing e financeiro para hospedar o site corporativo e outros recursos da Web que ela hospeda para usuários externos. A Rede Interna 1 é o conduíte que o departamento de marketing usa para publicar seu conteúdo no site corporativo, postar downloads e manter serviços como fóruns de usuários.
Como essas redes são separadas da Rede Externa 1 e da Rede Interna 2, e as máquinas virtuais não têm pontos de contato compartilhados (switches ou adaptadores), não há risco de ataque de ou para o servidor FTP ou o grupo de máquinas virtuais internas.

Ao aproveitar o isolamento da máquina virtual, configurar corretamente os switches virtuais e manter a separação de rede, o administrador do sistema pode hospedar todas as três zonas de máquina virtual no mesmo host ESXi e ter certeza de que não haverá violações de dados ou recursos.

A empresa impõe o isolamento entre os grupos de máquinas virtuais usando várias redes internas e externas e certificando-se de que os switches virtuais e os adaptadores de rede físicos de cada grupo estejam separados dos de outros grupos.

Como nenhum dos switches virtuais abrange zonas de máquina virtual, o administrador do sistema consegue eliminar o risco de vazamento de pacotes de uma zona para outra. Um switch virtual, por design, não pode vazar pacotes diretamente para outro switch virtual. A única maneira de os pacotes viajarem de um switch virtual para outro é nas seguintes circunstâncias:

  • Os switches virtuais estão conectados à mesma LAN física.
  • Os switches virtuais se conectam a uma máquina virtual comum, que pode ser usada para transmitir pacotes.

Nenhuma dessas condições ocorre na configuração de amostra. Se os administradores de sistema quiserem verificar se não há caminhos de switch virtual comuns, eles poderão verificar possíveis pontos de contato compartilhados revisando o layout do switch de rede no vSphere Client.

Para proteger os recursos das máquinas virtuais, o administrador do sistema reduz o risco de ataques DoS e DDoS configurando uma reserva de recursos e um limite para cada máquina virtual. O administrador do sistema protege ainda mais o host e as máquinas virtuais do ESXi instalando firewalls de software no front-end e nos back-ends da DMZ, garantindo que o host esteja atrás de um firewall físico e configurando os recursos de armazenamento em rede para que cada um tenha seu próprio virtual switch.