Os administradores têm várias opções para proteger vSphere Switches Distribuídos em seu ambiente vSphere.

As mesmas regras se aplicam para VLANs em um vSphere Distributed Switch e em um switch padrão. Para obter mais informações, consulte Proteção padrão do switch e VLANs.

Procedimento

  1. Para grupos de portas distribuídos com associação estática, desative o recurso Expansão Automática.

    A expansão automática é ativada por padrão.

    Para desativar a expansão automática, configure a propriedade autoExpand no grupo de portas distribuídas com o vSphere Web Services SDK ou com uma interface de linha de comando. Consulte a documentação do vSphere Web Services SDK.
  2. Certifique-se de que todas as IDs de VLAN privadas de qualquer vSphere Distributed Switch estejam totalmente documentadas.
  3. Se você estiver usando a marcação de VLAN em um dvPortgroup, as IDs de VLAN deverão corresponder às IDs em comutadores upstream externos com reconhecimento de VLAN. Se as IDs de VLAN não forem rastreadas corretamente, a reutilização incorreta de IDs poderá permitir o tráfego não intencional. Da mesma forma, IDs de VLAN erradas ou ausentes podem fazer com que o tráfego não passe entre as máquinas físicas e virtuais.
  4. Certifique-se de que não existam portas não utilizadas em um grupo de portas virtuais associado a um vSphere Distributed Switch.
  5. Rotule todos os vSphere switches distribuídos.
    vSphere Switches distribuídos associados a um host ESXi requerem uma caixa de texto para o nome do switch. Esse rótulo serve como um descritor funcional para o switch, assim como o nome do host associado a um switch físico. O rótulo no vSphere Distributed Switch indica a função ou a sub-rede IP do comutador. Por exemplo, você pode rotular o comutador como interno para indicar que ele é apenas para rede interna em um comutador virtual privado de uma máquina virtual. Nenhum tráfego passa por adaptadores de rede físicos.
  6. Desative a verificação de integridade da rede para seus switches distribuídos vSphere se você não estiver usando-o ativamente.
    A verificação de integridade da rede é desativada por padrão. Depois de ativados, os pacotes de verificação de integridade contêm informações sobre o host, o switch e a porta que um invasor pode usar. Use a verificação de integridade da rede apenas para solucionar problemas e desative-a quando a solução de problemas for concluída.
  7. Proteja o tráfego virtual contra ataques de representação e interceptação de Camada 2 configurando uma política de segurança em portas ou grupos de portas.
    A política de segurança em portas e grupos de portas distribuídos inclui as seguintes opções:
    Você pode visualizar e alterar as configurações atuais selecionando Gerenciar grupos de portas distribuídas (Manage Distributed Port Groups) no menu do botão direito do comutador distribuído e selecionando Segurança (Security) no assistente. Consulte a documentação do vSphere Rede.