Sichern Sie den physischen Switch auf jedem ESXi-Host, um zu verhindern, dass Angreifer Zugriff auf den Host und seine virtuellen Maschinen erhalten.

Um besten Host-Schutz zu gewährleisten, stellen Sie sicher, dass die physischen Switch-Ports mit deaktiviertem Spanning-Tree konfiguriert sind, und dass die Nichtverhandlungsoption für Trunk-Links zwischen externen physischen Switches und virtuellen Switches im VST-Modus (Virtual Switch Tagging) konfiguriert ist.

Prozedur

  1. Melden Sie sich beim physischen Switch an, und stellen Sie sicher, dass das Spanning-Tree-Protokoll deaktiviert ist oder dass PortFast für alle physischen Switch-Ports konfiguriert ist, die mit ESXi-Hosts verbunden sind.
  2. Für virtuelle Maschinen, die Überbrückungen oder Routing ausführen, prüfen Sie regelmäßig, dass der erste physische Switch-Port (upstream) mit BPDU Guard konfiguriert ist, dass PortFast deaktiviert ist und dass das Spanning-Tree-Protokoll aktiviert ist.
    Um in vSphere 5.1 oder höher zu verhindern, dass der physische Switch möglichen DoS-Angriffen (Denial of Service) ausgesetzt ist, können Sie den Gast-BPDU-Filter für ESXi-Hosts aktivieren.
  3. Melden Sie sich beim physischen Switch an, und stellen Sie sicher, dass Dynamic Trunking Protocol (DTP) nicht für die physischen Switch-Ports aktiviert ist, die mit den ESXi-Hosts verbunden sind.
  4. Prüfen Sie physische Switch-Ports routinemäßig, um sicherzustellen, dass sie ordnungsgemäß als Trunk-Ports konfiguriert sind, wenn sie mit VLAN-Trunking-Ports für virtuellen Switch verbunden sind.