网络隔离做法可增强 vSphere 环境的网络安全性。
隔离管理网络
通过 vSphere 管理网络可以访问每个组件上的 vSphere 管理界面。在管理界面上运行的服务会让攻击者有机会获得系统的访问特权。远程攻击可能从获取对本网络的访问权限开始。如果攻击者获得了对管理网络的访问权限,则会为进一步入侵提供集结基础。
通过按照ESXi主机或集群上运行的最安全虚拟机的安全级别来保护管理网络,严格控制对管理网络的访问。无论以何种方式限制管理网络,管理员都必须能够访问此网络以配置 ESXi主机和 vCenter Server 系统。
将 vSphere 管理端口组置于通用标准交换机上的专用 VLAN 中。如果生产虚拟机未使用 vSphere 管理端口组的 VLAN,则生产(虚拟机)流量可以共享标准交换机。
检查网络段是否未路由,其他管理相关的实体所在的网络除外。路由网络段可能对 vSphere Replication 有意义。尤其要注意的是,确保不可将生产虚拟机流量路由到此网络。
- 要在特别敏感环境中访问管理网络,请配置受控网关或其他受控方法。例如,要求管理员通过 VPN 连接到管理网络。仅允许受信任的管理员访问管理网络。
- 配置运行管理客户端的堡垒主机。
隔离存储流量
请确保隔离基于 IP 的存储流量。基于 IP 的存储包括 iSCSI 和 NFS。虚拟机可能与基于 IP 的存储配置共享虚拟交换机和 VLAN。此类型的配置可能会向未经授权的虚拟机用户公开基于 IP 的存储流量。
基于 IP 的存储通常未加密。有权访问此网络的任何人都可以查看基于 IP 的存储流量。要限制未经授权的用户查看基于 IP 的存储流量,请采用逻辑方式将基于 IP 的存储网络流量与生产流量分隔开来。在与 VMkernel 管理网络分隔开来的 VLAN 或网络段上配置基于 IP 的存储适配器,以限制未经授权的用户查看该流量。
隔离 vMotion 流量
vMotion 迁移信息以纯文本形式传输。可以访问此信息流经的网络的任何人均可查看此信息。潜在的攻击者可能会拦截 vMotion 流量以获取虚拟机的内存内容。攻击者还可能筹划 MiTM 攻击以在迁移期间修改有关内容。
请在隔离的网络中将 vMotion 流量与生产流量分隔开来。请将网络设置为不可路由,即确保第 3 层路由器未跨越此网络和其他网络,以防止外部对网络进行访问。
将通用标准交换机上的专用 VLAN 用于 vMotion 端口组。如果生产虚拟机未使用 vMotion 端口组的 VLAN,则生产(虚拟机)流量可以使用相同的标准交换机。
隔离 vSAN 流量
配置 vSAN 网络时,将 vSAN 流量隔离在其自己的第 2 层网络段上。可以通过使用专用交换机或端口或者使用 VLAN 执行此隔离。