Isolieren des Netzwerkdatenverkehrs

Die Isolierung des Netzwerkverkehrs ist entscheidend für eine sichere ESXi-Umgebung. Verschiedene Netzwerke erfordern verschiedenen Zugriff und verschiedene Isolierungsebenen. Ein Managementnetzwerk isoliert Datenverkehr des Clients, der Befehlszeilenschnittstelle oder der API sowie Datenverkehr von Drittsoftware von normalem Datenverkehr. Stellen Sie sicher, dass nur System-, Netzwerk- und Sicherheitsadministratoren Zugriff auf das Verwaltungsnetzwerk haben.

Weitere Informationen hierzu finden Sie unter ESXi-Netzwerksicherheitsempfehlungen.

Schützen virtueller Netzwerkelemente durch Firewalls

Sie können Firewall-Ports öffnen und schließen und alle Elemente im virtuellen Netzwerk eigens schützen. Für ESXi-Hosts verknüpfen Firewallregeln Dienste mit den entsprechenden Firewalls und können die Firewall in Abhängigkeit vom Dienststatus öffnen oder schließen.

Sie können auch Ports explizit für vCenter Server-Instanzen öffnen.

Eine Liste aller unterstützten Ports und Protokolle in VMware, einschließlich vSphere und vSAN, finden Sie im Tool VMware Ports and Protocols™ unter https://ports.vmware.com/. Sie können Ports nach VMware-Produkt durchsuchen, eine benutzerdefinierte Portliste erstellen und Portlisten drucken oder speichern.

Netzwerksicherheitsrichtlinien

Netzwerksicherheitsrichtlinien schützen den Datenverkehr vor Imitation von MAC-Adressen und unerwünschten Portscans. Die Sicherheitsrichtlinie eines Standard-Switches oder eines Distributed Switch ist auf Schicht 2 (Sicherungsschicht) des Netzwerkprotokoll-Stacks implementiert. Die drei Elemente der Sicherheitsrichtlinie sind der Promiscuous-Modus, Änderungen der MAC-Adresse und gefälschte Übertragungen.

Anweisungen hierzu finden Sie in der Dokumentation zu vSphere-Netzwerk.

Schützen von VM-Netzwerken

Weitere Informationen hierzu finden Sie unter Sichern der vSphere-Netzwerke.

Schützen Ihrer Umgebung durch VLANs

ESXi unterstützt IEEE 802.1q VLANs. Mit VLANs können Sie ein physisches Netzwerk in Segmente aufteilen. Sie können VLANs verwenden, um den Schutz des VM-Netzwerks bzw. der Speicherkonfiguration weiter zu erhöhen. Bei Verwendung von VLANs können zwei virtuelle Computer im selben physischen Netzwerk nur dann Pakete untereinander versenden, wenn sie sich im selben VLAN befinden.

Weitere Informationen hierzu finden Sie unter Absichern virtueller Maschinen durch VLANs.

Schützen der Verbindungen zum virtualisierten Speicher

Eine virtuelle Maschine speichert Betriebssystemdateien, Anwendungsdateien und andere Daten auf einer virtuellen Festplatte. Für die virtuelle Maschine ist die virtuelle Festplatte ein SCSI-Laufwerk mit einem verbundenen SCSI-Controller. Eine virtuelle Maschine ist von anderen Speicherelementen isoliert und hat keinen Zugriff auf die Daten der LUN, auf der die virtuelle Festplatte angesiedelt ist.

Das Virtual Machine File System (VMFS) ist ein verteiltes Dateisystem und ein Verwaltungswerkzeug für Volumes, das die virtuellen Volumes für den ESXi-Host erkennbar macht. Die Sicherheit der Verbindung zum Speicher liegt in Ihrer Verantwortung. Bei Verwendung von iSCSI-Speichern können Sie beispielsweise Ihre Umgebung zum Einsatz von Challenge Handshake Authentication Protocol (CHAP) konfigurieren. Wenn die Unternehmensrichtlinie dies verlangt, können Sie beiderseitiges CHAP einrichten. Verwenden Sie den vSphere Client oder CLIs, um CHAP einzurichten.

Weitere Informationen hierzu finden Sie unter Speichersicherheit, empfohlene Vorgehensweisen.

Bewerten der Verwendung von Internet Protocol Security

ESXi unterstützt Internet Protocol Security (IPSec) über IPv6. IPSec über IPv4 ist nicht möglich.

Weitere Informationen hierzu finden Sie unter Verwenden von Internet Protocol Security auf ESXi-Hosts.