A rede pode ser uma das partes mais vulneráveis de qualquer sistema. Sua rede de máquina virtual requer tanta proteção quanto sua rede física. O uso de VLANs pode melhorar a segurança da rede em seu ambiente.

As VLANs são um esquema de rede padrão IEEE com métodos de marcação específicos que permitem o roteamento de pacotes apenas para as portas que fazem parte da VLAN. Quando configuradas corretamente, as VLANs fornecem um meio confiável para você proteger um conjunto de máquinas virtuais contra invasões acidentais ou maliciosas.

As VLANs permitem segmentar uma rede física para que duas máquinas na rede não possam transmitir pacotes de um lado para o outro, a menos que façam parte da mesma VLAN. Por exemplo, os registros contábeis e as transações estão entre as informações internas mais confidenciais de uma empresa. Em uma empresa cujos funcionários de vendas, expedição e contabilidade usam máquinas virtuais na mesma rede física, você pode proteger as máquinas virtuais do departamento de contabilidade configurando VLANs.

Figura 1. Exemplo de layout de VLAN
Amostra de layout de VLAN

Nessa configuração, todos os funcionários do departamento de contabilidade usam máquinas virtuais na VLAN A e os funcionários de vendas usam máquinas virtuais na VLAN B.

O roteador encaminha os pacotes que contêm dados de contabilidade para os switches. Esses pacotes são marcados para distribuição somente para a VLAN A. Portanto, os dados são confinados ao Domínio de Difusão A e não podem ser roteados para o Domínio de Difusão B, a menos que o roteador esteja configurado para isso.

Essa configuração de VLAN impede que a força de vendas intercepte pacotes destinados ao departamento de contabilidade. Isso também impede que o departamento de contabilidade receba pacotes destinados ao grupo de vendas. As máquinas virtuais atendidas por um único comutador virtual podem estar em diferentes VLANs.

Considerações de segurança para VLANs

A maneira como você configura VLANs para proteger partes de uma rede depende de fatores como o sistema operacional convidado e a maneira como o equipamento de rede está configurado.

O ESXi apresenta uma implementação completa de VLAN compatível com IEEE 802.1q. VMware não pode fazer recomendações específicas sobre como configurar VLANs, mas há fatores a serem considerados ao usar uma implantação de VLAN como parte de sua política de aplicação de segurança.

VLANs seguras

Os administradores têm várias opções para proteger as VLANs em seu ambiente vSphere.

Procedimento

  1. Certifique-se de que os grupos de portas não estejam configurados para valores de VLAN reservados por switches físicos upstream
    Não defina IDs de VLAN com valores reservados para o comutador físico.
  2. Certifique-se de que os grupos de portas não estejam configurados para a VLAN 4095, a menos que você esteja usando para marcação de convidado virtual (VGT).
    Existem três tipos de marcação de VLAN em vSphere:
    • Etiquetagem de Chave Externa (EST)
    • Marcação de comutador virtual (VST) - o comutador virtual marca com a ID de VLAN configurada o tráfego de entrada para as máquinas virtuais conectadas e remove a etiqueta de VLAN do tráfego que está saindo delas. Para configurar o modo VST, atribua um ID de VLAN entre 1 e 4094.
    • Marcação de convidado virtual (VGT) - as máquinas virtuais lidam com o tráfego da VLAN. Para ativar o modo VGT, defina a ID da VLAN como 4095. Em um switch distribuído, você também pode permitir o tráfego da máquina virtual com base em sua VLAN usando a opção VLAN Trunking.

    Em um switch padrão, você pode configurar o modo de rede VLAN no nível do switch ou do grupo de portas e em um switch distribuído no nível do grupo de portas distribuído ou do.

  3. Certifique-se de que todas as VLANs em cada comutador virtual estejam totalmente documentadas e que cada comutador virtual tenha todas as VLANs necessárias e apenas as VLANs necessárias.