O sistema ESXi foi projetado para que você possa conectar alguns grupos de máquinas virtuais à rede interna, outros à rede externa e outros ainda a ambos, tudo no mesmo host. Esse recurso é uma consequência do isolamento básico de máquina virtual, juntamente com um uso bem planejado dos recursos de rede virtual.
Na figura, o administrador do sistema configurou um host em três zonas distintas de máquina virtual: servidor FTP, máquinas virtuais internas e DMZ. Cada zona tem uma função exclusiva.
Zona do servidor FTP
A Máquina Virtual 1 é configurada com software FTP e atua como uma área de retenção para dados enviados de e para recursos externos, como formulários e garantias localizadas por um fornecedor.
Esta máquina virtual está associada apenas a uma rede externa. Ele tem seu próprio comutador virtual e adaptador de rede física que o conectam à Rede Externa 1. Essa rede é dedicada a servidores que a empresa usa para receber dados de fontes externas. Por exemplo, a empresa usa a Rede Externa 1 para receber o tráfego FTP de fornecedores e permitir que os fornecedores acessem os dados armazenados em servidores disponíveis externamente por meio do FTP. Além de atender à Máquina Virtual 1, a Rede Externa 1 atende a servidores FTP configurados em diferentes hosts ESXi em todo o site.
Como a Máquina Virtual 1 não compartilha um comutador virtual ou adaptador de rede física com nenhuma máquina virtual no host, as outras máquinas virtuais residentes não podem transmitir ou receber pacotes da rede da Máquina Virtual 1. Essa restrição evita ataques de sniffing, que exigem o envio de tráfego de rede para a vítima. Mais importante ainda, um invasor não pode usar a vulnerabilidade natural do FTP para acessar qualquer uma das outras máquinas virtuais do host.
Zona de rede interna
As Máquinas Virtuais 2 a 5 são reservadas para uso interno. Essas máquinas virtuais processam e armazenam dados privados da empresa, como registros médicos, acordos legais e investigações de fraude. Como resultado, os administradores do sistema devem garantir o mais alto nível de proteção para essas máquinas virtuais.
Essas máquinas virtuais se conectam à Rede Interna 2 por meio de seu próprio comutador virtual e adaptador de rede. A Rede Interna 2 é reservada para uso interno por funcionários, como processadores de reivindicações, advogados internos ou avaliadores.
As Máquinas Virtuais 2 a 5 podem se comunicar umas com as outras por meio do comutador virtual e com máquinas virtuais internas em outros lugares na Rede Interna 2 por meio do adaptador de rede física. Eles não podem se comunicar com máquinas externas. Assim como no servidor FTP, essas máquinas virtuais não podem enviar ou receber pacotes das redes de outras máquinas virtuais. Da mesma forma, as outras máquinas virtuais do host não podem enviar ou receber pacotes das Máquinas Virtuais 2 a 5.
Zona DMZ
As Máquinas Virtuais 6 a 8 são configuradas como uma DMZ que o grupo de marketing usa para publicar o site externo da empresa.
Esse grupo de máquinas virtuais está associado à Rede Externa 2 e à Rede Interna 1. A empresa usa a Rede Externa 2 para oferecer suporte aos servidores Web que usam o departamento de marketing e financeiro para hospedar o site corporativo e outros recursos Web que ela hospeda para usuários externos. A Rede Interna 1 é o canal que o departamento de marketing usa para publicar seu conteúdo no site corporativo Web, postar downloads e manter serviços como fóruns de usuários.
Como essas redes são separadas da Rede Externa 1 e da Rede Interna 2, e as máquinas virtuais não têm pontos de contato compartilhados (switches ou adaptadores), não há risco de ataque de ou para o servidor FTP ou o grupo interno de máquinas virtuais.
Vantagens de usar zonas de máquina virtual
Ao aproveitar o isolamento da máquina virtual, configurar comutadores virtuais corretamente e manter a separação da rede, você pode hospedar todas as três zonas de máquina virtual no mesmo host ESXi e ter certeza de que não haverá violações de dados ou recursos.
A empresa impõe o isolamento entre os grupos de máquinas virtuais usando várias redes internas e externas e certificando-se de que os comutadores virtuais e os adaptadores de rede físicos de cada grupo estejam separados dos de outros grupos.
Como nenhum dos comutadores virtuais abrange zonas de máquinas virtuais, você consegue eliminar o risco de vazamento de pacotes de uma zona para outra. Um comutador virtual, por design, não pode vazar pacotes diretamente para outro comutador virtual. A única maneira de os pacotes viajarem de um comutador virtual para outro é nas seguintes circunstâncias:
- Os comutadores virtuais estão conectados à mesma LAN física.
- Os comutadores virtuais se conectam a uma máquina virtual comum, que pode ser usada para transmitir pacotes.
Nenhuma dessas condições ocorre na configuração de amostra. Se você quiser verificar se não existem caminhos de comutador virtual comuns, poderá verificar possíveis pontos de contato compartilhados revisando o layout do comutador de rede no vSphere Client.
Para proteger os recursos das máquinas virtuais, configure uma reserva de recursos e um limite para cada máquina virtual, o que reduz o risco de ataques DoS e DDoS. Você pode proteger ainda mais o host ESXi e as máquinas virtuais instalando firewalls de software nos front-end e back-ends da DMZ. Por fim, certifique-se de que o host esteja protegido por um firewall físico e configure os recursos de armazenamento em rede para que cada um tenha seu próprio comutador virtual.
