Die Isolierung des Netzwerkverkehrs ist entscheidend für eine sichere ESXi-Umgebung. Verschiedene Netzwerke erfordern verschiedenen Zugriff und verschiedene Isolierungsebenen.
Ihr ESXi-Host verwendet mehrere Netzwerke. Verwenden Sie angemessene Sicherheitsmaßnahmen für jedes Netzwerk und isolieren Sie Datenverkehr für bestimmte Anwendungen und Funktionen. Stellen Sie beispielsweise sicher, dass VMware vSphere vMotion®-Datenverkehr nicht über Netzwerke gesendet wird, in denen sich virtuelle Maschinen befinden. Durch Isolierung wird Snooping verhindert. Getrennte Netzwerke werden auch aus Leistungsgründen empfohlen.
- Netzwerke der vSphere-Infrastruktur werden für Funktionen wie vSphere vMotion, VMware vSphere Fault Tolerance und Speicher verwendet. Isolieren Sie diese Netzwerke nach ihren spezifischen Funktionen. Es ist meistens nicht nötig, diese Netzwerke außerhalb eines einzelnen physischen Server-Racks zu routen.
- Ein Verwaltungsnetzwerk isoliert Datenverkehr des Clients, der Befehlszeilenschnittstelle (CLI) oder der API sowie Datenverkehr von Drittsoftware von anderem Datenverkehr. Auf dieses Netzwerk dürfen nur System-, Netzwerk- und Sicherheitsadministratoren Zugriff haben. Verwenden Sie Jump-Box oder Virtual Private Network (VPN), um den Zugriff auf das Managementnetzwerk zu sichern. Führen Sie eine strenge Kontrolle für den Zugriff innerhalb dieses Netzwerks durch.
- Der Datenverkehr von virtuellen Maschinen kann über ein oder zahlreiche Netzwerke fließen. Sie können die Isolierung von virtuellen Maschinen verbessern, indem Sie virtuelle Firewalllösungen einsetzen, in denen Firewallregeln beim virtuellen Netzwerkcontroller festgelegt werden. Diese Einstellungen werden zusammen mit der virtuellen Maschine migriert, wenn diese von einem Host zu einem anderen in der vSphere-Umgebung migriert wird.