A camada de rede virtual inclui adaptadores de rede virtual, comutadores virtuais, comutadores virtuais distribuídos e portas e grupos de portas. ESXi depende da camada de rede virtual para oferecer suporte às comunicações entre máquinas virtuais e seus usuários. Além disso, o ESXi usa a camada de rede virtual para se comunicar com SANs iSCSI, armazenamento NAS e assim por diante.

vSphere inclui toda a gama de recursos necessários para uma infraestrutura de rede segura. Você pode proteger cada elemento da infraestrutura, como comutadores virtuais, comutadores virtuais distribuídos e adaptadores de rede virtual, separadamente. Além disso, considere as diretrizes a seguir, discutidas com mais detalhes em Protegendo a rede do vSphere.

Isolar o tráfego de rede

O isolamento do tráfego de rede é essencial para um ambiente ESXi seguro. Diferentes redes requerem diferentes acessos e níveis de isolamento. Uma rede de gerenciamento isola o tráfego do cliente, o tráfego da interface de linha de comando (CLI) ou da API e o tráfego de software de terceiros do tráfego normal. Certifique-se de que a rede de gerenciamento esteja acessível apenas pelos administradores do sistema, da rede e de segurança.

Consulte ESXi Recomendações de segurança de rede.

Usar firewalls para proteger elementos de rede virtual

Você pode abrir e fechar portas de firewall e proteger cada elemento na rede virtual separadamente. Para hosts ESXi, as regras de firewall associam serviços aos firewalls correspondentes e podem abrir e fechar o firewall de acordo com o status do serviço.

Você também pode abrir portas em instâncias vCenter Server explicitamente.

Para obter a lista de todas as portas e protocolos compatíveis com os produtos VMware, incluindo vSphere e vSAN, consulte o VMware Ports and Protocols Tool™ em https://ports.vmware.com/. Você pode pesquisar portas por produto VMware, criar uma lista personalizada de portas e imprimir ou salvar listas de portas.

Considere as políticas de segurança de rede

As políticas de segurança de rede fornecem proteção do tráfego contra a representação de endereço MAC e a verificação de porta indesejada. A política de segurança de um switch padrão ou distribuído é implementada na camada 2 (camada de enlace de dados) da pilha de protocolos de rede. Os três elementos da política de segurança são modo promíscuo, alterações de endereço MAC e transmissões forjadas.

Consulte a documentação do vSphere Rede para obter instruções.

Rede Segura de Máquinas Virtuais

Os métodos que você usa para proteger a rede de máquinas virtuais dependem de vários fatores, incluindo:
  • O sistema operacional convidado que está instalado
  • Se as máquinas virtuais operam em um ambiente confiável
Comutadores virtuais e comutadores virtuais distribuídos fornecem proteção significativa quando usados com outras práticas de segurança comuns, como a instalação de firewalls.

Consulte Protegendo a rede do vSphere.

Considere as VLANs para proteger seu ambiente

ESXi é compatível com VLANs IEEE 802.1q. As VLANs permitem segmentar uma rede física. Você pode usar VLANs para proteger ainda mais a rede da máquina virtual ou a configuração de armazenamento. Quando você usa VLANs, duas máquinas virtuais na mesma rede física não podem enviar ou receber pacotes uma da outra, a menos que estejam na mesma VLAN.

Consulte Protegendo máquinas virtuais com VLANs.

Conexões seguras ao armazenamento virtualizado

Uma máquina virtual armazena arquivos do sistema operacional, arquivos de aplicativos e outros dados em um disco virtual. Cada disco virtual aparece para a máquina virtual como uma unidade SCSI conectada a um controlador SCSI. Uma máquina virtual é isolada dos detalhes de armazenamento e não pode acessar as informações sobre o LUN em que seu disco virtual reside.

O Virtual Machine File System (VMFS) é um sistema de arquivos distribuído e um gerenciador de volumes que apresenta volumes virtuais ao host ESXi. Você é responsável por proteger a conexão com o armazenamento. Por exemplo, se você estiver usando o armazenamento iSCSI, poderá configurar seu ambiente para usar o CHAP (Challenge Handshake Authentication Protocol). Se exigido pela política da empresa, você pode configurar o CHAP mútuo. Use o vSphere Client ou as CLIs para configurar o CHAP.

Consulte Práticas recomendadas de segurança de armazenamento.

Avaliar o uso da segurança do protocolo Internet

ESXi é compatível com IPSec (Internet Protocol Security) sobre IPv6. Você não pode usar IPSec sobre IPv4.

Consulte Usando a segurança do protocolo Internet em hosts ESXi.