Die Isolierung des Netzwerkverkehrs ist entscheidend für eine sichere ESXi-Umgebung. Verschiedene Netzwerke erfordern verschiedenen Zugriff und verschiedene Isolierungsebenen.

Ihr ESXi-Host verwendet mehrere Netzwerke. Verwenden Sie angemessene Sicherheitsmaßnahmen für jedes Netzwerk und isolieren Sie Datenverkehr für bestimmte Anwendungen und Funktionen. Stellen Sie z. B. sicher, dass vSphere vMotion-Datenverkehr nicht über Netzwerke gesendet wird, in denen sich virtuelle Maschinen befinden. Durch Isolierung wird Snooping verhindert. Getrennte Netzwerke werden auch aus Leistungsgründen empfohlen.

  • Netzwerke der vSphere-Infrastruktur werden für Funktionen wie VMware vSphere vMotion®, VMware vSphere Fault Tolerance und Speicher verwendet. Diese Netzwerke werden als für ihre spezifischen Funktionen isoliert betrachtet und oft nicht außerhalb eines einzelnen physischen Satzes von Serverracks geroutet.

  • Ein Managementnetzwerk isoliert Datenverkehr des Clients, der Befehlszeilenschnittstelle oder der API sowie Datenverkehr von Drittsoftware von normalem Datenverkehr. Auf dieses Netzwerk dürfen nur System-, Netzwerk- und Sicherheits-Administratoren Zugriff haben. Verwenden Sie Jump-Box oder Virtual Private Network (VPN), um den Zugriff auf das Managementnetzwerk zu sichern. Kontrollieren Sie den Zugriff innerhalb dieses Netzwerks strikt auf mögliche Malware-Quellen.

  • Der Datenverkehr von virtuellen Maschinen kann über ein oder zahlreiche Netzwerke fließen. Sie können die Isolierung von virtuellen Maschinen verbessern, indem Sie virtuelle Firewalllösungen einsetzen, in denen Firewallregeln beim virtuellen Netzwerkcontroller festgelegt werden. Diese Einstellungen werden zusammen mit der virtuellen Maschine migriert, wenn diese von einem Host zu einem anderen in der vSphere-Umgebung migriert.