采用可靠的网络隔离做法可显著增强 vSphere 环境的网络安全性。

隔离管理网络

通过 vSphere 管理网络可以访问每个组件上的 vSphere 管理界面。在管理界面上运行的服务会让攻击者有机会获得系统的访问特权。远程攻击可能从获取对本网络的访问权限开始。如果攻击者获得了对管理网络的访问权限,则会为进一步入侵提供集结基础。

通过按 ESXi 主机或群集上运行的最安全虚拟机的安全级别保护管理网络,严格控制对管理网络的访问。无论以何种方式限制管理网络,管理员都必须能够访问此网络以配置 ESXi 主机和 vCenter Server 系统。

将 vSphere 管理端口组置于通用 vSwitch 上的专用 VLAN 中。只要 vSphere 管理端口组的 VLAN 未用于生产虚拟机,就可以与生产(虚拟机)流量共享 vSwitch。确认网络段未路由到其他网络,但如果网络中存在管理相关的其他实体(例如,与 vSphere Replication 一起使用时),则可以路由到该网络。尤其要注意的是,确保不可将生产虚拟机流量路由到此网络。

可通过以下方法之一严格控制对管理功能的访问。

  • 对于特别敏感的环境,可配置受控网关或其他控制方法以访问管理网络。例如,要求管理员通过 VPN 连接到管理网络,且只允许受信任的管理员访问管理网络。

  • 配置运行管理客户端的跳转盒。

隔离存储流量

请确保隔离基于 IP 的存储流量。基于 IP 的存储包括 iSCSI 和 NFS。虚拟机可能与基于 IP 的存储配置共享虚拟交换机和 VLAN。此类型的配置可能会向未经授权的虚拟机用户公开基于 IP 的存储流量。

基于 IP 的存储通常未加密,任何可以访问此网络的人均可对其进行查看。要限制未经授权的用户查看基于 IP 的存储流量,请采用逻辑方式将基于 IP 的存储网络流量与生产流量分隔开来。在与 VMkernel 管理网络分隔开来的 VLAN 或网络段上配置基于 IP 的存储适配器,以限制未经授权的用户查看该流量。

隔离 vMotion 流量

vMotion 迁移信息以纯文本形式传输。可以访问此信息流经的网络的任何人均可查看此信息。潜在的攻击者可能会拦截 vMotion 流量以获取虚拟机的内存内容。攻击者还可能筹划 MiTM 攻击以在迁移期间修改有关内容。

请在隔离的网络中将 VMotion 流量与生产流量分隔开来。请将网络设置为不可路由,即确保第 3 层路由器未跨越此网络和其他网络,以防止外部对网络进行访问。

VMotion 端口组应位于通用 vSwitch 上的专用 VLAN 中。只要 VMotion 端口组的 VLAN 未用于生产虚拟机,就可以与生产(虚拟机)流量共享 vSwitch。