Das Netzwerk gehört zu den gefährdetsten Teilen eines jeden Systems. Ihre VM-Netzwerk muss genauso wie ihr physisches Netzwerk geschützt werden. Durch die Verwendung von VLANs kann die Sicherheit des Netzwerks in Ihrer Umgebung verbessert werden.

VLANs sind eine Netzwerkarchitektur nach dem IEEE-Standard und verfügen über spezifische Kennzeichnungsmethoden, durch die Datenpakete nur an die Ports weitergeleitet werden, die zum VLAN gehören. Wenn das VLAN ordnungsgemäß konfiguriert ist, ist es ein zuverlässiges Mittel zum Schutz einer Gruppe virtueller Maschinen vor zufälligem und böswilligem Eindringen.

Mit VLANs können Sie ein physisches Netzwerk so in Segmente aufteilen, dass zwei Computer oder virtuelle Maschinen im Netzwerk nur dann Pakete untereinander austauschen können, wenn sie zum gleichen VLAN gehören. So gehören zum Beispiel Buchhaltungsunterlagen und -transaktionen zu den wichtigsten vertraulichen internen Informationen eines Unternehmens. Wenn in einem Unternehmen die virtuellen Maschinen der Verkaufs-, Logistik- und Buchhaltungsmitarbeiter an das gleiche physische Netzwerk angeschlossen sind, können Sie die virtuellen Maschinen für die Buchhaltungsabteilung schützen, indem Sie VLANs einrichten.

Abbildung 1. Beispielplan eines VLAN
Beispielplan eines VLAN

Bei dieser Konfiguration verwenden alle Mitarbeiter der Buchhaltungsabteilung virtuelle Maschinen im VLAN A, die Mitarbeiter der Vertriebsabteilung verwenden die virtuellen Maschinen im VLAN B.

Der Router leitet die Datenpakete mit Buchhaltungsdaten an die Switches weiter. Diese Pakete sind so gekennzeichnet, dass sie nur an VLAN A weitergeleitet werden dürfen. Daher sind die Daten auf die Broadcast-Domäne A beschränkt und können nur an die Broadcast-Domäne B weitergeleitet werden, wenn der Router entsprechend konfiguriert wurde.

Bei dieser VLAN-Konfiguration wird verhindert, dass Mitarbeiter des Vertriebs Datenpakete abfangen können, die für die Buchhaltungsabteilung bestimmt sind. Die Buchhaltungsabteilung kann zudem auch keine Datenpakete empfangen, die für den Vertrieb bestimmt sind. Virtuelle Maschinen, die an einen gemeinsamen virtuellen Switch angebunden sind, können sich dennoch in unterschiedlichen VLANs befinden.

Sicherheitsempfehlungen für VLANs

Wie Sie die VLANs einrichten, um Teile eines Netzwerks abzusichern, hängt von Faktoren wie dem Gastbetriebssystem und der Konfiguration der Netzwerkgeräte ab.

ESXi ist mit einer vollständigen VLAN-Implementierung nach IEEE 802.1q ausgestattet. Zwar kann VMware keine spezifischen Empfehlungen aussprechen, wie die VLANs eingerichtet werden sollten, es sollten jedoch bestimmte Faktoren berücksichtigt werden, wenn ein VLAN ein Bestandteil Ihrer Sicherheitsrichtlinien ist.

Sichern von VLANs

Administratoren haben mehrere Möglichkeiten, um die VLANs in ihrer vSphere-Umgebung zu sichern.

Prozedur

  1. Stellen Sie sicher, dass für Portgruppen keine VLAN-Werte konfiguriert sind, die für physische Upstream-Switches reserviert sind.
    Legen Sie für VLAN-IDs keine Werte fest, die für den physischen Switch reserviert sind.
  2. Stellen Sie sicher, dass für Portgruppen nicht VLAN 4095 konfiguriert ist, außer Sie verwenden Virtual Guest Tagging (VGT).
    In vSphere gibt es drei Arten von VLAN-Tagging:
    • External Switch Tagging (EST)
    • Virtual Switch Tagging (VST): Der virtuelle Switch kennzeichnet mit der konfigurierten VLAN-ID den eingehenden Datenverkehr für die angefügten virtuellen Maschinen und entfernt das VLAN-Tag im ausgehenden Datenverkehr. Zum Einrichten des VST-Modus weisen Sie eine VLAN-ID zwischen 1 und 4094 zu.
    • Virtual Guest Tagging (VGT): VLANs werden von virtuellen Maschinen abgewickelt. Zum Aktivieren des VGT-Modus legen Sie 4095 als VLAN-ID fest. Auf einem Distributed Switch können Sie mithilfe der Option VLAN-Trunking auch Datenverkehr der virtuellen Maschine basierend auf dem VLAN zulassen.

    Auf einem Standard-Switch können Sie den VLAN-Netzwerkmodus auf Switch- oder Portgruppenebene konfigurieren, und auf einem Distributed Switch auf der Ebene der verteilten Portgruppe oder des Ports.

  3. Stellen Sie sicher, dass alle VLANs auf jedem virtuellen Switch vollständig dokumentiert sind und dass jeder virtuelle Switch alle erforderlichen VLANs und nur die erforderlichen VLANs aufweist.