Durch die Einführung angemessener Netzwerkisolierungspraktiken können Sie die Netzwerksicherheit in der vSphere-Umgebung erheblich erhöhen.

Isolieren des Verwaltungsnetzwerks

Das vSphere-Verwaltungsnetzwerk bietet Zugriff auf die vSphere-Verwaltungsschnittstelle der einzelnen Komponenten. Die Dienste, die auf der Verwaltungsschnittstelle ausgeführt werden, bieten Angreifern die Chance, sich privilegierten Zugriff auf die Systeme zu verschaffen. Die Wahrscheinlichkeit ist hoch, dass Remoteangriffe mit der Verschaffung von Zugriff auf dieses Netzwerk beginnen. Wenn ein Angreifer sich Zugriff auf das Verwaltungsnetzwerk verschafft, hat er eine gute Ausgangsposition für ein weiteres Eindringen.

Kontrollieren Sie den Zugriff auf das Verwaltungsnetzwerk streng, indem Sie es mit der Sicherheitsebene der sichersten virtuellen Maschine, die auf einem ESXi-Host oder -Cluster ausgeführt wird, schützen. Unabhängig davon, wie stark das Verwaltungsnetzwerk eingeschränkt ist, benötigen Administratoren Zugriff auf dieses Netzwerk, um die ESXi-Hosts und das vCenter Server-System zu konfigurieren.

Platzieren Sie die vSphere-Verwaltungsportgruppe in einem dedizierten VLAN auf einem gemeinsamen vSwitch. Der vSwitch kann für den Produktsdatenverkehr (virtuelle Maschine) freigegeben werden, solange das VLAN der vSphere-Verwaltungsportgruppe nicht von Produktions-VMs verwendet wird. Stellen Sie sicher, dass das Netzwerksegment nicht geroutet ist. Ausnahmen sind möglicherweise Netzwerke, bei denen andere verwaltungsrelevante Elemente anzutreffen sind, beispielsweise in Verbindung mit vSphere Replication. Stellen Sie insbesondere sicher, dass der Datenverkehr der Produktions-VM nicht auf dieses Netzwerk geroutet werden kann.

Aktivieren Sie den Zugriff auf die Verwaltungsfunktionen streng kontrolliert mit einem der folgenden Ansätze.

  • Konfigurieren Sie für besonders vertrauliche Umgebungen ein kontrolliertes Gateway oder eine andere kontrollierte Methode für den Zugriff auf das Verwaltungsnetzwerk. Legen Sie z. B. fest, dass Administratoren sich über ein VPN mit dem Verwaltungsnetzwerk verbinden, und erlauben Sie nur vertrauenswürdigen Administratoren den Zugriff.

  • Konfigurieren Sie Jump-Boxes, die Verwaltungs-Clients ausführen.

Isolieren von Speicherdatenverkehr

Stellen Sie sicher, dass der IP-basierte Speicherdatenverkehr isoliert ist. IP-basierter Speicher umfasst iSCSI und NFS. Virtuelle Maschinen können virtuelle Switches und VLANs mit den IP-basierten Speicherkonfigurationen gemeinsam benutzen. Bei diesem Konfigurationstyp kann der IP-basierte Speicherdatenverkehr unautorisierten Benutzern der virtuellen Maschine ausgesetzt sein.

IP-basierter Speicher ist häufig nicht verschlüsselt, und jeder Benutzer mit Zugriff auf das Netzwerk kann ihn anzeigen. Um zu verhindern, dass unautorisierte Benutzer den IP-basierten Speicherdatenverkehr anzeigen, trennen Sie den IP-basierten Speicher-Netzwerkdatenverkehr logisch vom Produktionsdatenverkehr. Konfigurieren Sie die IP-basierten Speicheradapter auf getrennten VLAns oder Netzwerksegmenten im VMkernel-Verwaltungsnetzwerk, um zu verhindern, dass unautorisierte Benutzer den Datenverkehr einsehen.

Isolieren von VMotion-Datenverkehr

VMotion-Migrationsinformationen werden als einfacher Text übermittelt. Jeder Benutzer mit Zugriff auf das Netzwerk, über das diese Informationen fließen, kann sie anzeigen. Potenzielle Angreifer können vMotion-Datenverkehr abfangen, um an die Speicherinhalte einer virtuellen Maschine zu gelangen. Sie können auch einen MiTM-Angriff durchführen, bei dem die Inhalte während der Migration geändert werden.

Trennen Sie den vMotion-Datenverkehr vom Produktionsdatenverkehr in einem isolierten Netzwerk. Richten Sie das Netzwerk so ein, dass es nicht routing-fähig ist. Stellen Sie also sicher, dass kein Layer 3-Router dieses und andere Netzwerke umfasst, um Fremdzugriff auf das Netzwerk zu verhindern.

Die vMotion-Portgruppe sollte sich in einem dedizierten VLAN auf einem gemeinsamen vSwitch befinden. Der vSwitch kann für den Produktsdatenverkehr (virtuelle Maschine) freigegeben werden, solange das VLAN der vMotion-Verwaltungsportgruppe nicht von Produktions-VMs verwendet wird.