Die Netzwerksicherheit in der vSphere-Umgebung weist viele gemeinsame Merkmale mit der Absicherung einer physischen Netzwerkumgebung auf, aber auch einige Merkmale, die nur virtuelle Maschinen betreffen.
Firewalls
Fügen Sie Firewallschutz für das virtuelle Netzwerk durch Installation und Konfiguration von hostbasierten Firewalls auf bestimmten oder allen VMs hinzu.
Aus Effizienzgründen können Sie private Ethernet-Netzwerke virtueller Maschinen oder Virtuelle Netzwerke einrichten. In virtuellen Netzwerken installieren Sie eine hostbasierte Firewall auf einer VM am Eingang des virtuellen Netzwerks. Diese Firewall dient als Schutzpufferzone zwischen dem physischen Netzwerkadapter und den übrigen VMs im virtuellen Netzwerk.
Hostbasierte Firewalls können die Leistung beeinträchtigen. Stimmen Sie Ihre Sicherheitsbedürfnisse mit den Leistungszielen ab, bevor Sie hostbasierte Firewalls auf VMs an anderen Positionen im virtuellen Netzwerk installieren.
Weitere Informationen hierzu finden Sie unter Absichern des Netzwerks mit Firewalls.
Segmentierung
Behalten Sie verschiedene Zonen aus virtuellen Maschinen innerhalb eines Hosts auf verschiedenen Netzwerksegmenten bei. Wenn Sie jede virtuelle Maschinenzone in deren eigenem Netzwerksegment isolieren, minimieren Sie das Risiko eines Datenverlusts zwischen zwei Zonen. Segmentierung verhindert verschiedene Bedrohungen, einschließlich ARP-Manipulation (Address Resolution Protocol). Bei der ARP-Manipulation verändert ein Angreifer die ARP-Tabelle dahingehend, dass MAC- und IP-Adressen neu zugeordnet werden, und erhält somit Zugriff auf Netzwerkverkehr von und zu einem Host. Angreifer verwenden diese ARP-Manipulation für Man-in-the-Middle-Angriffe (MITM), für Denial of Service-Angriffe (DoS), zur Übernahme des Zielsystems und zur anderweitigen Beeinträchtigung des virtuellen Netzwerks.
Durch eine umsichtige Planung der Segmentierung wird das Risiko von Paketübertragungen zwischen VM-Zonen gesenkt. Durch die Segmentierung werden Spionageangriffe verhindert, die das Senden von Netzwerkverkehr an das Opfer erforderlich machen. So kann ein Angreifer auch keinen unsicheren Dienst in einer virtuellen Maschinenzone aktivieren, um auf andere virtuelle Maschinenzonen im Host zuzugreifen. Die Segmentierung können Sie mithilfe einer der beiden folgenden Methoden implementieren.
- Verwenden Sie getrennte physische Netzwerkadapter für Zonen virtueller Maschinen, damit die Zonen auch tatsächlich voneinander getrennt sind. Die Beibehaltung getrennter physischer Netzwerkadapter für die virtuellen Maschinenzonen stellt unter Umständen die sicherste Methode nach dem Anlegen des ersten Segments dar. Dieser Ansatz ist weniger anfällig für Konfigurationsfehler.
- Richten Sie virtuelle LANs (VLANs) zur Absicherung des Netzwerks ein. VLANs bieten fast alle Sicherheitsvorteile, die der Installation physisch getrennter Netzwerke innewohnen, ohne dass zusätzliche Hardware angeschafft werden muss. Bei Verwendung von VLANs fallen keine Kosten für Bereitstellung und Verwaltung zusätzlicher Geräte, Verkabelung usw. an. Weitere Informationen hierzu finden Sie unter Absichern virtueller Maschinen durch VLANs.
Verhindern des nicht autorisierten Zugriffs
- Wenn ein VM-Netzwerk an ein physisches Netzwerk angeschlossen ist, kann es ebenso Sicherheitslücken aufweisen wie ein Netzwerk, das aus physischen Maschinen besteht.
- Selbst wenn Sie eine VM nicht an das physische Netzwerk anschließen, kann die VM von anderen VMs angegriffen werden.
VMs sind voneinander isoliert. Eine VM kann weder Lese- noch Schreibvorgänge im Speicher einer anderen VM ausführen noch auf deren Daten zugreifen, ihre Anwendungen verwenden usw. Dennoch kann jede VM oder VM-Gruppe innerhalb des Netzwerks weiterhin Ziel eines unerlaubten Zugriffs durch andere VMs sein. Schützen Sie Ihre VMs vor unerlaubtem Zugriff.
Weitere Informationen zum Schutz virtueller Maschinen finden Sie im NIST-Dokument mit dem Titel „Sichere virtuelle Netzwerkkonfiguration zum Schutz virtueller Maschinen (VM)“ unter: