vSphere 环境中的网络安全不仅具有保护物理网络环境的特性,而且具有一些仅适用于虚拟机的特性。

防火墙

为虚拟网络增加防火墙保护,方法是在其中的部分或所有虚拟机上安装和配置基于主机的防火墙。

为提高效率,可设置专用虚拟机以太网或虚拟网络。有了虚拟网络,可在虚拟网络最前面的虚拟机上安装基于主机的防火墙。此防火墙可以充当物理网络适配器和虚拟网络中剩余虚拟机之间的保护性缓存。

基于主机的防火墙会降低性能。因此先根据性能目标对安全需求进行权衡,然后再决定在虚拟网络中的其他虚拟机上安装基于主机的防火墙。

请参见使用防火墙确保网络安全

分段

将主机中的不同虚拟机区域置于不同网络段上。如果将每个虚拟机区域隔离在自己的网络段中,可以最大限度降低区域间泄露数据的风险。分段可防止多种威胁,包括地址解析协议 (ARP) 欺骗。通过 ARP 欺骗,攻击者操作 ARP 表格以重新映射 MAC 和 IP 地址,并得以访问进出主机的网络流量。攻击者使用 ARP 欺骗生成中间人 (MITM) 攻击、执行拒绝服务 (DoS) 攻击,劫持目标系统并以其他方式破坏虚拟网络。

仔细计划分段可降低虚拟机区域间传输数据包的几率。因此,分段可防止嗅探攻击(此类攻击需向受害者发送网络流量)。此外,攻击者无法使用一个虚拟机区域中的不安全服务访问主机中的其他虚拟机区域。可以使用两种方法之一实施分段。

  • 为虚拟机区域使用单独的物理网络适配器以确保将区域隔离。为虚拟机区域使用单独的物理网络适配器可能是最安全的方法。在初次创建段之后,这种方法更不容易出现配置错误。
  • 设置虚拟局域网 (VLAN) 以帮助保护网络。VLAN 几乎能够提供以物理方式实施单独网络所具有的所有安全优势,但省去了硬件开销。VLAN 可为您节省部署和维护附加设备、线缆等硬件的成本。请参见通过 VLAN 确保虚拟机安全

阻止未授权的访问

用于确保虚拟机安全的要求通常与确保物理机安全的要求相同。
  • 如果将虚拟机网络连接到物理网络,则其遭到破坏的风险不亚于由物理机组成的网络。
  • 即使您不将某个虚拟机连接到物理网络,该虚拟机也会受到其他虚拟机的攻击。

虚拟机是相互独立的。一个虚拟机无法读取或写入另一个虚拟机的内存、访问其数据、使用其应用程序等等。但在网络中,任何虚拟机或虚拟机组仍可能遭到其他虚拟机的未经授权的访问。保护虚拟机不遭受此类未经授权的访问。

有关保护虚拟机的其他信息,请参见标题为“用于保护虚拟机 (VM) 的安全虚拟网络配置”的 NIST 文档,网址为:

https://csrc.nist.gov/publications/detail/sp/800-125b/final