Zur virtuellen Netzwerkebene gehören virtuelle Netzwerkadapter, virtuelle Switches, verteilte virtuelle Switches, Ports und Portgruppen. ESXi verwendet die virtuelle Netzwerkebene zur Kommunikation zwischen den virtuellen Maschinen und ihren Benutzern. Außerdem verwendet ESXi die virtuelle Netzwerkebene zur Kommunikation mit iSCSI-SANs, NAS-Speichern usw.

vSphere umfasst das gesamte Funktionsangebot, das für eine sichere Netzwerkinfrastruktur erforderlich ist. Dabei kann jedes einzelne Element der Infrastruktur eigens geschützt werden, z. B. virtuelle Switches, verteile virtuelle Switches, virtuelle Netzwerkadapter usw. Beachten Sie auch folgende Richtlinien, über die Sie ausführlicher unter Sichern der vSphere-Netzwerke nachlesen können.

Isolieren des Netzwerkdatenverkehrs

Die Isolierung des Netzwerkdatenverkehrs ist für eine sichere ESXi-Umgebung maßgeblich. Verschiedene Netzwerke erfordern verschiedenen Zugriff und verschiedene Isolierungsebenen. Ein Managementnetzwerk isoliert Datenverkehr des Clients, der Befehlszeilenschnittstelle oder der API sowie Datenverkehr von Drittsoftware von normalem Datenverkehr. Auf dieses Netzwerk dürfen nur System-, Netzwerk- und Sicherheitsadministratoren Zugriff haben.

Siehe ESXi-Netzwerksicherheitsempfehlungen.

Schützen virtueller Netzwerkelemente durch Firewalls

Sie können Firewall-Ports öffnen und schließen und alle Elemente im virtuellen Netzwerk eigens schützen. Firewallregeln verknüpfen Dienste mit den entsprechenden Firewalls und die ESXi-Firewall je nach Dienststatus öffnen oder schließen.

Siehe ESXi-Firewall-Konfiguration.

Netzwerksicherheitsrichtlinien

Netzwerksicherheitsrichtlinien schützen den Datenverkehr vor Imitation von MAC-Adressen und unerwünschten Portscans. Die Sicherheitsrichtlinie eines Standard-Switches oder eines Distributed Switch ist auf Schicht 2 (Sicherungsschicht) des Netzwerkprotokoll-Stacks implementiert. Die drei Elemente der Sicherheitsrichtlinie sind der Promiscuous-Modus, Änderungen der MAC-Adresse und gefälschte Übertragungen.

Anweisungen hierzu finden Sie in der Dokumentation zu vSphere-Netzwerk.

Schützen von VM-Netzwerken

Die Methoden, die Sie zur Absicherung eines Netzwerks von virtuellen Maschinen verwenden, hängen unter anderem davon ab, welches Gastbetriebssystem installiert wurde und ob die virtuellen Maschinen in einer sicheren Umgebung betrieben werden. Virtuelle Switches und verteilte virtuelle Switches bieten einen hohen Grad an Sicherheit, wenn sie in Verbindung mit anderen üblichen Sicherheitsmaßnahmen verwendet werden, z. B. Firewalls.

Siehe Sichern der vSphere-Netzwerke.

Schützen Ihrer Umgebung durch VLANs

ESXi unterstützt VLANs nach IEEE 802.1q, die zum weiteren Schutz des VM-Netzwerks oder der Speicherkonfiguration verwendet werden können. Mit VLANs können Sie ein physisches Netzwerk in Segmente aufteilen, sodass zwei Computer im gleichen physischen Netzwerk nur dann Pakete untereinander versenden können, wenn sie sich im gleichen VLAN befinden.

Siehe Absichern virtueller Maschinen durch VLANs.

Schützen der Verbindungen zum virtualisierten Speicher

Virtuelle Maschinen speichern Betriebssystemdateien, Programmdateien und andere Daten auf einer virtuellen Festplatte. Für die virtuelle Maschine ist die virtuelle Festplatte ein SCSI-Laufwerk mit einem verbundenen SCSI-Controller. Eine virtuelle Maschine ist von anderen Speicherelementen isoliert und hat keinen Zugriff auf die Daten der LUN, auf der die virtuelle Festplatte angesiedelt ist.

Das Virtual Machine File System (VMFS) ist ein verteiltes Dateisystem und ein Verwaltungswerkzeug für Volumes, das die virtuellen Volumes für den ESXi-Host erkennbar macht. Die Sicherheit der Verbindung zum Speicher liegt in Ihrer Verantwortung. Bei Verwendung von iSCSI-Speichern können Sie beispielsweise Ihre Umgebung zum Einsatz von CHAP und – falls von Ihren Unternehmensrichtlinien so vorgeschrieben – beiderseitigem CHAP konfigurieren. Dies erfolgt über den vSphere Web Client oder über CLIs.

Siehe Speichersicherheit, empfohlene Vorgehensweisen.

Verwendung von IPSec

ESXi unterstützt IPSec über IPv6. IPSec über IPv4 ist nicht möglich.

Siehe Internet Protocol Security (IPsec).

Überlegen Sie auch, ob VMware NSX für vSphere eine gute Lösung zum Schutz der Netzwerkebene in Ihrer Umgebung darstellen könnte.