Zur virtuellen Netzwerkebene gehören virtuelle Netzwerkadapter, virtuelle Switches, verteilte virtuelle Switches, Ports und Portgruppen. ESXi verwendet die virtuelle Netzwerkebene zur Kommunikation zwischen den virtuellen Maschinen und ihren Benutzern. Außerdem verwendet ESXi die virtuelle Netzwerkebene zur Kommunikation mit iSCSI-SANs, NAS-Speichern usw.

vSphere umfasst das gesamte Funktionsangebot, das für eine sichere Netzwerkinfrastruktur erforderlich ist. Dabei kann jedes einzelne Element der Infrastruktur eigens geschützt werden, z. B. virtuelle Switches, verteilte virtuelle Switches und virtuelle Netzwerkadapter. Beachten Sie auch folgende Richtlinien, über die Sie ausführlicher unter Sichern der vSphere-Netzwerke nachlesen können.

Isolieren des Netzwerkdatenverkehrs

Die Isolierung des Netzwerkverkehrs ist entscheidend für eine sichere ESXi-Umgebung. Verschiedene Netzwerke erfordern verschiedenen Zugriff und verschiedene Isolierungsebenen. Ein Managementnetzwerk isoliert Datenverkehr des Clients, der Befehlszeilenschnittstelle oder der API sowie Datenverkehr von Drittsoftware von normalem Datenverkehr. Stellen Sie sicher, dass nur System-, Netzwerk- und Sicherheitsadministratoren Zugriff auf das Verwaltungsnetzwerk haben.

Weitere Informationen hierzu finden Sie unter ESXi-Netzwerksicherheitsempfehlungen.

Schützen virtueller Netzwerkelemente durch Firewalls

Sie können Firewall-Ports öffnen und schließen und alle Elemente im virtuellen Netzwerk eigens schützen. Für ESXi-Hosts verknüpfen Firewallregeln Dienste mit den entsprechenden Firewalls und können die Firewall in Abhängigkeit vom Dienststatus öffnen oder schließen. Weitere Informationen hierzu finden Sie unter ESXi-Firewall-Konfiguration.

Sie können auch Ports explizit für Platform Services Controller- und vCenter Server-Instanzen öffnen. Siehe Erforderliche Ports für vCenter Server und Platform Services Controller und Zusätzliche TCP- und UDP-Ports für vCenter Server.

Netzwerksicherheitsrichtlinien

Netzwerksicherheitsrichtlinien schützen den Datenverkehr vor Imitation von MAC-Adressen und unerwünschten Portscans. Die Sicherheitsrichtlinie eines Standard-Switches oder eines Distributed Switch ist auf Schicht 2 (Sicherungsschicht) des Netzwerkprotokoll-Stacks implementiert. Die drei Elemente der Sicherheitsrichtlinie sind der Promiscuous-Modus, Änderungen der MAC-Adresse und gefälschte Übertragungen.

Anweisungen hierzu finden Sie in der Dokumentation zu vSphere-Netzwerk.

Sichern des VM-Netzwerks

Die Methoden, die Sie zur Sicherung des VM-Netzwerks verwenden, hängen von mehreren Faktoren ab, darunter folgende:

  • Das installierte Gastbetriebssystem.

  • Ob die VMs in einer vertrauenswürdigen Umgebung betrieben werden.

Virtuelle Switches und verteilte virtuelle Switches bieten einen hohen Grad an Sicherheit, wenn sie in Verbindung mit anderen üblichen Sicherheitsmaßnahmen verwendet werden, z. B. Firewalls.

Weitere Informationen hierzu finden Sie unter Sichern der vSphere-Netzwerke.

Schützen Ihrer Umgebung durch VLANs

ESXi unterstützt IEEE 802.1q VLANs. Mit VLANs können Sie ein physisches Netzwerk in Segmente aufteilen. Sie können VLANs verwenden, um den Schutz des VM-Netzwerks bzw. der Speicherkonfiguration weiter zu erhöhen. Bei Verwendung von VLANs können zwei VMs in demselben physischen Netzwerk nur dann Pakete untereinander übertragen, wenn sie sich in demselben VLAN befinden.

Weitere Informationen hierzu finden Sie unter Absichern virtueller Maschinen durch VLANs.

Schützen der Verbindungen zum virtualisierten Speicher

Virtuelle Maschinen speichern Betriebssystemdateien, Programmdateien und andere Daten auf einer virtuellen Festplatte. Für die virtuelle Maschine ist die virtuelle Festplatte ein SCSI-Laufwerk mit einem verbundenen SCSI-Controller. Eine virtuelle Maschine ist von anderen Speicherelementen isoliert und hat keinen Zugriff auf die Daten der LUN, auf der die virtuelle Festplatte angesiedelt ist.

Das Virtual Machine File System (VMFS) ist ein verteiltes Dateisystem und ein Verwaltungswerkzeug für Volumes, das die virtuellen Volumes für den ESXi-Host erkennbar macht. Die Sicherheit der Verbindung zum Speicher liegt in Ihrer Verantwortung. Bei Verwendung von iSCSI-Speichern können Sie beispielsweise Ihre Umgebung zum Einsatz von CHAP konfigurieren. Wenn die Unternehmensrichtlinie dies verlangt, können Sie beiderseitiges CHAP einrichten. Verwenden Sie vSphere Web Client oder CLIs, um CHAP einzurichten.

Weitere Informationen hierzu finden Sie unter Speichersicherheit, empfohlene Vorgehensweisen.

Verwendung von IPSec

ESXi unterstützt IPSec über IPv6. IPSec über IPv4 ist nicht möglich.

Weitere Informationen hierzu finden Sie unter Internet Protocol Security (IPsec).

Überlegen Sie auch, ob VMware NSX for vSphere eine gute Lösung zum Schutz der Netzwerkebene in Ihrer Umgebung darstellen könnte.