vSphere 环境中的网络安全不仅具有保护物理网络环境的特性,而且具有一些仅适用于虚拟机的特性。

防火墙

为虚拟网络增加防火墙保护,方法是在其中的部分或所有虚拟机上安装和配置基于主机的防火墙。

为提高效率,可设置专用虚拟机以太网或虚拟网络。有了虚拟网络,可在网络最前面的虚拟机上安装基于主机的防火墙。此防火墙可以充当物理网络适配器和虚拟网络中剩余虚拟机之间的保护性缓存。

由于基于主机的防火墙会降低性能,因此请先根据性能目标对安全需求进行权衡,然后再决定在虚拟网络中的其他虚拟机上安装基于主机的防火墙。

请参见使用防火墙确保网络安全

分段

将主机中的不同虚拟机区域置于不同网络段上。如果将每个虚拟机区域隔离在自己的网络段中,可以大大降低虚拟机区域间泄漏数据的风险。分段可防止多种威胁,包括地址解析协议 (ARP) 欺骗,即攻击者操作 ARP 表格以重新映射 MAC 和 IP 地址,从而访问进出主机的网络流量。攻击者使用 ARP 欺骗生成中间人 (MITM) 攻击、执行拒绝服务 (DoS) 攻击,劫持目标系统并以其他方式破坏虚拟网络。

仔细计划分段可降低虚拟机区域间传输数据包的几率,从而防止嗅探攻击(此类攻击需向受害者发送网络流量)。此外,攻击者无法使用一个虚拟机区域中的不安全服务访问主机中的其他虚拟机区域。可以使用两种方法之一实施分段。每种方法具有不同优势。

  • 为虚拟机区域使用单独的物理网络适配器以确保将区域隔离。为虚拟机区域使用单独的物理网络适配器可能是最安全的方法,并且更不容易在初次创建段之后出现配置错误。

  • 设置虚拟局域网 (VLAN) 以帮助保护网络。VLAN 几乎能够提供以物理方式实施单独网络所具有的所有安全优势,但省去了硬件开销,可为您节省部署和维护附加设备、线缆等硬件的成本,是一种可行的解决方案。请参见通过 VLAN 确保虚拟机安全

阻止未授权的访问

如果将虚拟机网络连接到物理网络,则其遭到破坏的风险不亚于由物理机组成的网络。即使虚拟机网络已与任何物理网络隔离,虚拟机也可能遭到网络中其他虚拟机的攻击。用于确保虚拟机安全的要求通常与确保物理机安全的要求相同。

虚拟机是相互独立的。一个虚拟机无法读取或写入另一个虚拟机的内存、访问其数据、使用其应用程序等等。但在网络中,任何虚拟机或虚拟机组仍可能遭到其他虚拟机的未授权访问,因此可能需要通过外部手段加强保护。