Seguir as práticas recomendadas de segurança de rede ajuda a garantir a integridade da sua implantação do vSphere.

Recomendações gerais de segurança de rede vSphere

Seguir as recomendações gerais de segurança de rede é a primeira etapa para proteger seu ambiente de rede vSphere. Em seguida, você pode passar para áreas especiais, como proteger a rede com firewalls ou usar IPsec.

Recomendações para proteger um ambiente de rede vSphere

  • O Spanning Tree Protocol (STP) detecta e impede a formação de loops na topologia de rede. Os comutadores virtuais VMware evitam loops de outras maneiras, mas não oferecem suporte ao STP diretamente. Quando ocorrem alterações na topologia da rede, é necessário algum tempo (30 a 50 segundos) até que a rede reaprenda a topologia. Durante esse tempo, nenhum tráfego pode passar. Para evitar esses problemas, os fornecedores de rede criaram recursos para que as portas do switch continuem encaminhando o tráfego. Para obter mais informações, consulte o artigo da base de conhecimento VMware em https://kb.vmware.com/kb/1003804. Consulte a documentação do seu fornecedor de rede para obter as configurações corretas de rede e hardware de rede.
  • Certifique-se de que o tráfego do Netflow para um Comutador Virtual Distribuído seja enviado apenas para endereços IP de coletor autorizados. As exportações do Netflow não são criptografadas e podem conter informações sobre a rede virtual. Essas informações aumentam a probabilidade de informações confidenciais serem visualizadas e capturadas em trânsito por invasores. Se a exportação do Netflow for necessária, verifique se todos os endereços IP de destino do Netflow estão corretos.
  • Certifique-se de que somente administradores autorizados tenham acesso aos componentes de rede virtual usando os controles de acesso baseados em função. Por exemplo, conceda aos administradores de máquinas virtuais acesso apenas aos grupos de portas nos quais suas máquinas virtuais residem. Conceda aos administradores de rede acesso a todos os componentes de rede virtual, mas nenhum acesso às máquinas virtuais. Limitar o acesso reduz o risco de configuração incorreta, acidental ou mal-intencionada, e aplica os principais conceitos de segurança de separação de tarefas e privilégio mínimo.
  • Certifique-se de que os grupos de portas não estejam configurados para o valor da VLAN nativa. Os switches físicos geralmente são configurados com uma VLAN nativa, e essa VLAN nativa geralmente é a VLAN 1 por padrão. ESXi não tem uma VLAN nativa. Os quadros com a VLAN especificada no grupo de portas têm uma etiqueta, mas os quadros com a VLAN não especificada no grupo de portas não são etiquetados. Isso pode causar um problema porque as máquinas virtuais marcadas com um 1 acabam pertencendo à VLAN nativa do comutador físico.

    Por exemplo, os quadros na VLAN 1 de um switch físico da Cisco não são marcados porque a VLAN 1 é a VLAN nativa nesse switch físico. No entanto, os quadros do host ESXi especificados como VLAN 1 são marcados com um 1. Como resultado, o tráfego do host ESXi destinado à VLAN nativa não é roteado corretamente porque está marcado com um 1 em vez de não ser marcado. O tráfego do comutador físico que está vindo da VLAN nativa não é visível porque não está marcado. Se o grupo de portas do comutador virtual ESXi usar a ID de VLAN nativa, o tráfego de máquinas virtuais nessa porta não ficará visível para a VLAN nativa no comutador porque o comutador está esperando tráfego não marcado.

  • Certifique-se de que os grupos de portas não estejam configurados para valores de VLAN reservados por comutadores físicos upstream. Os switches físicos reservam determinados IDs de VLAN para fins internos e geralmente não permitem o tráfego configurado para esses valores. Por exemplo, os switches Cisco Catalyst normalmente reservam as VLANs 1001–1024 e 4094. O uso de uma VLAN reservada pode resultar em uma negação de serviço na rede.
  • Certifique-se de que os grupos de portas não estejam configurados para a VLAN 4095, exceto para a marcação de convidado virtual (VGT). Definir um grupo de portas como VLAN 4095 ativa o modo VGT. Nesse modo, o comutador virtual passa todos os quadros de rede para a máquina virtual sem modificar as tags de VLAN, deixando para a máquina virtual lidar com eles.
  • Restrinja as substituições de configuração no nível da porta em um comutador virtual distribuído. As substituições de configuração no nível da porta são desativadas por padrão. Quando as substituições são ativadas, você pode usar configurações de segurança diferentes para uma máquina virtual do que as configurações de nível de grupo de portas. Certas máquinas virtuais exigem configurações exclusivas, mas o monitoramento é essencial. Se as substituições não forem monitoradas, qualquer pessoa que obtiver acesso a uma máquina virtual com uma configuração de comutador virtual distribuído menos segura poderá tentar explorar esse acesso.
  • Certifique-se de que o tráfego de espelho de porta de comutador virtual distribuído seja enviado apenas para portas de coletor ou VLANs autorizadas. Um vSphere Distributed Switch pode espelhar o tráfego de uma porta para outra para permitir que os dispositivos de captura de pacotes coletem fluxos de tráfego específicos. O espelhamento de porta envia uma cópia de todo o tráfego especificado em formato não criptografado. Esse tráfego espelhado contém os dados completos nos pacotes capturados e pode resultar no comprometimento total desses dados se for mal direcionado. Se o espelhamento de porta for necessário, verifique se todas as IDs de VLAN, porta e uplink de destino do espelhamento de porta estão corretas.

Rotulando vSphere componentes de rede

Identificar os diferentes componentes de sua arquitetura de rede vSphere é fundamental e ajuda a garantir que nenhum erro seja introduzido à medida que sua rede se expande.

Siga estas práticas recomendadas:

  • Certifique-se de que os grupos de portas estejam configurados com um rótulo de rede claro. Esses rótulos servem como um descritor funcional para o grupo de portas e ajudam a identificar a função de cada grupo de portas à medida que a rede se torna mais complexa.
  • Certifique-se de que cada vSphere Distributed Switch tenha um rótulo de rede claro que indique a função ou a sub-rede IP do comutador. Esse rótulo serve como um descritor funcional para o switch, assim como os switches físicos exigem um nome de host. Por exemplo, você pode rotular o switch como interno para mostrar que é para rede interna. Você não pode alterar o rótulo de um comutador virtual padrão.

Documentar e verificar o ambiente de VLAN vSphere

Verifique seu ambiente de VLAN regularmente para evitar problemas de resolução. Documente totalmente o ambiente de VLAN e certifique-se de que as IDs de VLAN sejam usadas apenas uma vez. Sua documentação pode ajudar na solução de problemas e é essencial quando você deseja expandir o ambiente.

Procedimento

  1. Certifique-se de que todos os IDs de vSwitch e VLANS estejam totalmente documentados
    Se você estiver usando a marcação de VLAN em um comutador virtual, as IDs deverão corresponder às IDs em comutadores upstream externos com reconhecimento de VLAN. Se as IDs de VLAN não forem rastreadas completamente, a reutilização incorreta de IDs poderá permitir o tráfego entre as máquinas físicas e virtuais erradas. Da mesma forma, se as IDs de VLAN estiverem erradas ou ausentes, o tráfego entre as máquinas físicas e virtuais poderá ser bloqueado onde você deseja que o tráfego passe.
  2. Certifique-se de que as IDs de VLAN para todos os grupos de portas virtuais distribuídas (instâncias dvPortgroup) estejam totalmente documentadas.
    Se você estiver usando a marcação de VLAN em um dvPortgroup, as IDs deverão corresponder às IDs em comutadores upstream externos com reconhecimento de VLAN. Se as IDs de VLAN não forem rastreadas completamente, a reutilização incorreta de IDs poderá permitir o tráfego entre as máquinas físicas e virtuais erradas. Da mesma forma, se as IDs de VLAN estiverem erradas ou ausentes, o tráfego entre as máquinas físicas e virtuais poderá ser bloqueado onde você deseja que o tráfego passe.
  3. Certifique-se de que as IDs de VLAN privadas para todos os comutadores virtuais distribuídos estejam totalmente documentadas.
    As VLANs privadas (PVLANs) para comutadores virtuais distribuídos exigem IDs de VLAN primária e secundária. Esses IDs devem corresponder aos IDs em comutadores upstream externos com reconhecimento de PVLAN. Se as IDs de VLAN não forem rastreadas completamente, a reutilização incorreta de IDs poderá permitir o tráfego entre as máquinas físicas e virtuais erradas. Da mesma forma, se as IDs de PVLAN estiverem erradas ou ausentes, o tráfego entre as máquinas físicas e virtuais poderá ser bloqueado onde você deseja que o tráfego passe.
  4. Verifique se os links de tronco da VLAN estão conectados somente às portas do switch físico que funcionam como links de tronco.
    Ao conectar um comutador virtual a uma porta de tronco de VLAN, você deve configurar corretamente o comutador virtual e o comutador físico na porta de uplink. Se o switch físico não estiver configurado corretamente, os quadros com o cabeçalho VLAN 802.1q serão encaminhados para um switch que não espera sua chegada.

Adotando práticas de isolamento de rede em vSphere

As práticas de isolamento de rede reforçam a segurança da rede em seu ambiente vSphere.

Isolar a rede de gerenciamento vSphere

A rede de gerenciamento vSphere fornece acesso à interface de gerenciamento vSphere em cada componente. Os serviços executados na interface de gerenciamento oferecem uma oportunidade para um invasor obter acesso privilegiado aos sistemas. Os ataques remotos provavelmente começarão com o acesso a essa rede. Se um invasor obtiver acesso à rede de gerenciamento, ele fornecerá o terreno de preparação para outras invasões.

Controle rigorosamente o acesso à rede de gerenciamento protegendo-a no nível de segurança da VM mais segura em execução em um host ou cluster ESXi. Não importa como a rede de gerenciamento seja restrita, os administradores devem ter acesso a essa rede para configurar os hosts ESXi e o sistema vCenter Server.

Coloque o grupo de portas de gerenciamento vSphere em uma VLAN dedicada em um switch padrão comum. O tráfego de produção (VM) poderá compartilhar o comutador padrão se a VLAN do grupo de portas de gerenciamento vSphere não for usada por VMs de produção.

Verifique se o segmento de rede não está roteado, exceto para redes em que outras entidades relacionadas ao gerenciamento são encontradas. O roteamento de um segmento de rede pode fazer sentido para vSphere Replication. Em particular, certifique-se de que o tráfego da VM de produção não possa ser roteado para essa rede.

Controle estritamente o acesso à funcionalidade de gerenciamento usando uma das seguintes abordagens.
  • Para acessar a rede de gerenciamento em ambientes especialmente confidenciais, configure um gateway controlado ou outro método controlado. Por exemplo, exija que os administradores se conectem à rede de gerenciamento por meio de uma VPN. Permita o acesso à rede de gerenciamento apenas para administradores confiáveis.
  • Configure os hosts bastiões que executam clientes de gerenciamento.

Isolar o tráfego de armazenamento

Certifique-se de que o tráfego de armazenamento baseado em IP esteja isolado. O armazenamento baseado em IP inclui iSCSI e NFS. As máquinas virtuais podem compartilhar comutadores virtuais e VLANs com as configurações de armazenamento baseadas em IP. Esse tipo de configuração pode expor o tráfego de armazenamento baseado em IP para usuários de máquinas virtuais não autorizados.

O armazenamento baseado em IP frequentemente não é criptografado. Qualquer pessoa com acesso a essa rede pode visualizar o tráfego de armazenamento baseado em IP. Para impedir que usuários não autorizados visualizem o tráfego de armazenamento baseado em IP, separe logicamente o tráfego de rede de armazenamento baseado em IP do tráfego de produção. Configure os adaptadores de armazenamento baseados em IP em VLANs ou segmentos de rede separados da rede de gerenciamento do VMkernel para impedir que usuários não autorizados visualizem o tráfego.

Isolar o tráfego do vMotion

As informações de migração do vMotion são transmitidas em texto sem formatação. Qualquer pessoa com acesso à rede pela qual essas informações fluem pode visualizá-las. Os invasores em potencial podem interceptar o tráfego do vMotion para obter o conteúdo da memória de uma VM. Eles também podem preparar um ataque MITM no qual o conteúdo é modificado durante a migração.

Separe o tráfego do vMotion do tráfego de produção em uma rede isolada. Configure a rede para ser não roteável, ou seja, certifique-se de que nenhum roteador de camada 3 esteja abrangendo esta e outras redes, para evitar o acesso externo à rede.

Use uma VLAN dedicada em um switch padrão comum para o grupo de portas do vMotion. O tráfego de produção (VM) poderá usar o mesmo switch padrão se a VLAN do grupo de portas do vMotion não for usada por máquinas virtuais de produção.

Isolar o tráfego de vSAN

Ao configurar sua rede vSAN, isole o tráfego vSAN em seu próprio segmento de rede de Camada 2. Você pode realizar esse isolamento usando comutadores ou portas dedicadas ou usando uma VLAN.

Use switches virtuais com o vSphere Network Appliance API somente se necessário

Não configure seu host para enviar informações de rede para uma máquina virtual, a menos que você esteja usando produtos que usam o vSphere Network Appliance API (DvFilter). Se o vSphere Network Appliance API estiver ativado, um invasor poderá tentar conectar uma máquina virtual ao filtro. Essa conexão pode fornecer acesso à rede de outras máquinas virtuais no host.

Se você estiver usando um produto que usa essa API, verifique se o host está configurado corretamente. Consulte as seções sobre DvFilter em Desenvolvendo e implantando soluções vSphere, vServices e ESX Agents em https://developer.vmware.com/docs/6518/developing-and-deploying -vsphere-solutions--vservices--and-esx-agents. Se o seu host estiver configurado para usar a API, certifique-se de que o valor do parâmetro Net.DVFilterBindIpAddress corresponda ao produto que usa a API.

Procedimento

  1. Procure o host no inventário vSphere Client.
  2. Clique em Configurar (Configure).
  3. Em Sistema, clique em Configurações avançadas do sistema (Advanced System Settings).
  4. Role para baixo até Net.DVFilterBindIpAddress e verifique se o parâmetro tem um valor vazio.
    A ordem dos parâmetros não é estritamente alfabética. Digite DVFilter na caixa de texto Filtro para exibir todos os parâmetros relacionados.
  5. Verifique a configuração.
    • Se você não estiver usando as configurações de DvFilter, certifique-se de que o valor esteja em branco.
    • Se você estiver usando as configurações de DvFilter, certifique-se de que o valor do parâmetro esteja correto. O valor deve corresponder ao valor que o produto que usa o DvFilter está usando.