Die Netzwerksicherheit in der vSphere-Umgebung weist viele gemeinsame Merkmale mit der Absicherung einer physischen Netzwerkumgebung auf, aber auch einige Merkmale, die nur virtuelle Maschinen betreffen.

Firewalls

Fügen Sie Firewallschutz für das virtuelle Netzwerk durch Installation und Konfiguration von hostbasierten Firewalls auf einigen oder allen virtuellen Maschinen im Netzwerk hinzu.

Aus Effizienzgründen können Sie private Ethernet-Netzwerke virtueller Maschinen oder Virtuelle Netzwerke einrichten. Bei virtuellen Netzwerken installieren Sie eine hostbasierte Firewall auf einer virtuellen Maschine am Eingang des virtuellen Netzwerks. Diese Firewall dient als Schutzpufferzone zwischen dem physischen Netzwerkadapter und den übrigen virtuellen Maschinen im virtuellen Netzwerk.

Da hostbasierte Firewalls die Leistung beeinträchtigen können, sollten Sie Sicherheitsbedürfnisse und Leistungsanforderungen gegeneinander abwägen, bevor Sie hostbasierte Firewalls in anderen virtuellen Maschinen im Netzwerk installieren.

Weitere Informationen hierzu finden Sie unter Absichern des Netzwerks mit Firewalls.

Segmentierung

Behalten Sie verschiedene Zonen aus virtuellen Maschinen innerhalb eines Hosts auf verschiedenen Netzwerksegmenten bei. Wenn Sie jede virtuelle Maschinenzone in deren eigenem Netzwerksegment isolieren, minimieren Sie das Risiko eines Datenverlusts zwischen zwei virtuellen Maschinenzonen. Die Segmentierung verhindert mehrere Gefahren. Zu diesen Gefahren gehört auch die Manipulation des Adressauflösungsprotokolls (ARP), wobei der Angreifer die ARP-Tabelle so manipuliert, dass die MAC- und IP-Adressen neu zugeordnet werden, wodurch ein Zugriff auf den Netzwerkdatenverkehr vom und zum Host möglich ist. Angreifer verwenden diese ARP-Manipulation für Man-in-the-Middle-Angriffe (MITM), für Denial of Service-Angriffe (DoS), zur Übernahme des Zielsystems und zur anderweitigen Beeinträchtigung des virtuellen Netzwerks.

Eine sorgfältige Planung der Segmentierung senkt das Risiko von Paketübertragungen zwischen virtuellen Maschinenzonen und somit von Spionageangriffen, die voraussetzen, dass dem Opfer Netzwerkdatenverkehr zugestellt wird. So kann ein Angreifer auch keinen unsicheren Dienst in einer virtuellen Maschinenzone aktivieren, um auf andere virtuelle Maschinenzonen im Host zuzugreifen. Die Segmentierung können Sie mithilfe einer der beiden folgenden Methoden implementieren. Jede Methode hat ihre Vorteile.

  • Verwenden Sie getrennte physische Netzwerkadapter für Zonen virtueller Maschinen, damit die Zonen auch tatsächlich voneinander getrennt sind. Die Beibehaltung getrennter physischer Netzwerkadapter für die virtuellen Maschinenzonen stellt unter Umständen die sicherste Methode dar, und gleichzeitig ist sie am wenigsten anfällig für Konfigurationsfehler nach dem Anlegen des ersten Segments.

  • Richten Sie virtuelle LANs (VLANs) zur Absicherung des Netzwerks ein. Da VLANs fast alle Sicherheitsvorteile bieten, die auch die Implementierung physisch getrennter Netzwerke aufweist, ohne dass dafür der Mehraufwand an Hardware eines physischen Netzwerks notwendig ist, stellen sie eine rentable Lösung zur Verfügung, die die Kosten für die Bereitstellung und Wartung zusätzlicher Geräte, Kabel usw. einsparen kann. Weitere Informationen hierzu finden Sie unter Absichern virtueller Maschinen durch VLANs.

Verhindern des nicht autorisierten Zugriffs

Wenn das Netzwerk virtueller Maschinen an ein physisches Netzwerk angeschlossen ist, kann es ebenso Sicherheitslücken aufweisen wie ein Netzwerk, das aus physischen Maschinen besteht. Selbst wenn das virtuelle Maschinennetzwerk nicht an ein physisches Netzwerk angeschlossen ist, kann ein Angriff auf virtuelle Maschinen innerhalb des Netzwerks von anderen virtuellen Maschinen des Netzwerks aus erfolgen. Die Anforderungen an die Absicherung virtueller Maschinen und physischer Maschinen sind oft identisch.

Virtuelle Maschinen sind voneinander isoliert. Eine virtuelle Maschine kann weder Lese- noch Schreibvorgänge im Speicher der anderen virtuellen Maschine ausführen noch auf deren Daten zugreifen, ihre Anwendungen verwenden usw. Im Netzwerk kann jedoch jede virtuelle Maschine oder eine Gruppe virtueller Maschinen Ziel eines unerlaubten Zugriffs von anderen virtuellen Maschinen sein und daher weiteren Schutzes durch externe Maßnahmen bedürfen.