A proteção da rede vSphere é uma parte essencial da proteção do seu ambiente. Você protege diferentes componentes do vSphere de maneiras diferentes. Consulte a documentação do vSphere Rede para obter informações detalhadas sobre a rede no ambiente do vSphere.
A segurança de rede no ambiente vSphere compartilha muitas características de proteção de um ambiente de rede física, mas também inclui algumas características que se aplicam apenas a máquinas virtuais.
Como usar firewalls
Adicione proteção por firewall à sua rede virtual instalando e configurando firewalls baseados em host em algumas ou todas as suas máquinas virtuais.
Para maior eficiência, você pode configurar redes Ethernet ou redes virtuais de máquinas virtuais privadas. Com as redes virtuais, você instala um firewall baseado em host em uma máquina virtual no topo da rede virtual. Esse firewall funciona como um buffer de proteção entre o adaptador de rede física e as máquinas virtuais restantes na rede virtual.
Os firewalls baseados em host podem reduzir o desempenho. Equilibre suas necessidades de segurança em relação às metas de desempenho antes de instalar firewalls baseados em host em máquinas virtuais em outros lugares da rede virtual.
Consulte Protegendo a rede com firewalls.
Como usar a segmentação de rede
Mantenha diferentes zonas de máquina virtual em um host em diferentes segmentos de rede. Se você isolar cada zona de máquina virtual em seu próprio segmento de rede, minimizará o risco de vazamento de dados de uma zona para outra. A segmentação evita várias ameaças, incluindo a falsificação do Protocolo de Resolução de Endereço (ARP). Com a falsificação de ARP, um invasor manipula a tabela ARP para remapear endereços MAC e IP e obtém acesso ao tráfego de rede de e para um host. Os invasores usam a falsificação de ARP para gerar ataques man in the middle (MITM), executar ataques de negação de serviço (DoS), sequestrar o sistema de destino e interromper a rede virtual.
O planejamento cuidadoso da segmentação reduz as chances de transmissões de pacotes entre zonas de máquinas virtuais. Portanto, a segmentação evita ataques de sniffing que exigem o envio de tráfego de rede para a vítima. Além disso, um invasor não pode usar um serviço não seguro em uma zona de máquina virtual para acessar outras zonas de máquina virtual no host. Você pode implementar a segmentação usando uma das duas abordagens.
- Use adaptadores de rede física separados para zonas de máquina virtual para garantir que as zonas sejam isoladas. A manutenção de adaptadores de rede físicos separados para zonas de máquina virtual é provavelmente o método mais seguro. Após a criação do segmento inicial. Essa abordagem é menos propensa a erros de configuração.
- Configure redes locais virtuais (VLANs) para ajudar a proteger sua rede. As VLANs fornecem quase todos os benefícios de segurança inerentes à implementação de redes fisicamente separadas sem sobrecarga de hardware. As VLANs podem economizar o custo de implantação e manutenção de dispositivos, cabeamento e outros dispositivos adicionais. Consulte Protegendo máquinas virtuais com VLANs.
Como evitar o acesso não autorizado a máquinas virtuais
- Se uma rede de máquina virtual estiver conectada a uma rede física, ela poderá estar sujeita a violações, como uma rede que consiste em máquinas físicas.
- Mesmo que você não conecte uma máquina virtual à rede física, a máquina virtual poderá ser atacada por outras máquinas virtuais.
As máquinas virtuais são isoladas umas das outras. Uma máquina virtual não pode ler ou gravar na memória de outra máquina virtual, acessar seus dados, usar seus aplicativos e assim por diante. No entanto, dentro da rede, qualquer máquina virtual ou grupo de máquinas virtuais ainda pode ser alvo de acesso não autorizado de outras máquinas virtuais. Proteja suas máquinas virtuais desse acesso não autorizado.
Para obter informações adicionais sobre como proteger máquinas virtuais, consulte o documento do NIST intitulado "Configuração de rede virtual segura para proteção de máquina virtual (VM)" em:
