Die Einhaltung der Best Practices für die Netzwerksicherheit dient der Integritätswahrung Ihrer vSphere-Bereitstellung.

Allgemeine Empfehlungen für die vSphere-Netzwerksicherheit

Das Befolgen allgemeiner Netzwerksicherheitsempfehlungen ist der erste Schritt zum Absichern Ihrer vSphere-Netzwerkumgebung. Anschließend können Sie sich spezielle Bereiche vornehmen, wie Absichern des Netzwerks mit Firewalls oder Verwendung von IPsec.

Empfehlungen zum Sichern einer vSphere-Netzwerkumgebung

  • Das Spanning-Tree-Protokoll (STP) erkennt und verhindert die Bildung von Schleifen in der Netzwerktopologie. Virtuelle VMware-Switches verhindern Schleifen anderweitig, bieten aber keine direkte Unterstützung für STP. Wenn sich die Netzwerktopologie ändert, dauert es zwischen 30 und 50 Sekunden, bis das Netzwerk die Topologie erneut erlernt. Während dieser Zeit darf kein Datenverkehr übertragen werden. Zur Vermeidung dieser Probleme haben Netzwerkanbieter Funktionen zum Aktivieren von Switch-Ports erstellt, die die Weiterleitung des Datenverkehrs fortsetzen. Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/1003804. In der Dokumentation des Netzwerkanbieters finden Sie Informationen zu geeigneten Konfigurationen für das Netzwerk und die Netzwerkhardware.
  • Stellen Sie sicher, dass Netflow-Daten für einen verteilten virtuellen Switch nur an autorisierte Collector-IP-Adressen gesendet werden. Netflow-Exporte werden nicht verschlüsselt und können Informationen über das virtuelle Netzwerk enthalten. Diese vertraulichen Informationen können unter Umständen während der Übertragung von Angreifern angezeigt und erfasst werden. Wenn ein Netflow-Export erforderlich ist, prüfen Sie, ob alle Netflow-Ziel-IP-Adressen korrekt sind.
  • Stellen Sie mithilfe der rollenbasierten Zugriffssteuerung sicher, dass nur autorisierte Administratoren Zugriff auf virtuelle Netzwerkkomponenten haben. Geben Sie beispielsweise Administratoren virtueller Maschinen nur Zugriff auf Portgruppen, in denen sich ihre virtuellen Maschinen befinden. Geben Sie Netzwerkadministratoren Berechtigungen für alle virtuellen Netzwerkkomponenten, aber keinen Zugriff auf virtuelle Maschinen. Durch Beschränkung des Zugriffs verringert sich das Risiko einer Fehlkonfiguration, sei es zufällig oder absichtlich, und wichtige Sicherheitskonzepte der Trennung der Verantwortlichkeiten und der geringsten Berechtigung werden in Kraft gesetzt.
  • Stellen Sie sicher, dass für Portgruppen nicht der Wert des nativen VLAN konfiguriert ist. Physische Switches werden häufig mit einem nativen VLAN konfiguriert, bei dem es sich standardmäßig um VLAN 1 handelt. ESXi verfügt nicht über ein natives VLAN. Frames, für die das VLAN in der Portgruppe angegeben ist, weisen ein Tag auf, aber Frames, für die kein VLAN in der Portgruppe angegeben ist, werden nicht gekennzeichnet. Dies kann zu Problemen führen, da mit „1“ gekennzeichnete virtuelle Maschinen am Ende zum nativen VLAN des physischen Switches gehören.

    Beispielsweise werden Frames in VLAN 1 von einem physischen Cisco-Switch nicht gekennzeichnet, da VLAN1 das native VLAN auf diesem physischen Switch ist. Frames vom ESXi-Host, die als VLAN 1 festgelegt sind, werden jedoch mit einer „1“ gekennzeichnet. Das führt dazu, dass für das native VLAN bestimmter Datenverkehr vom ESXi-Host nicht korrekt weitergeleitet wird, da er mit einer „1“ gekennzeichnet ist, statt keine Kennzeichnung aufzuweisen. Datenverkehr vom physischen Switch, der vom nativen VLAN stammt, ist nicht sichtbar, da er nicht gekennzeichnet ist. Wenn die ESXi-Portgruppe für den virtuellen Switch die native VLAN-ID verwendet, ist Datenverkehr von virtuellen Maschinen auf diesem Port nicht für das native VLAN auf dem Switch sichtbar, da der Switch nicht gekennzeichneten Datenverkehr erwartet.

  • Stellen Sie sicher, dass für Portgruppen keine VLAN-Werte konfiguriert sind, die für physische Upstream-Switches reserviert sind. Physische Switches reservieren bestimmte VLAN-IDs zu internen Zwecken und erlauben mit diesen Werten konfigurierten Datenverkehr in vielen Fällen nicht. Beispielsweise reservieren Cisco Catalyst-Switches in der Regel die VLANs 1001 bis 1024 und 4094. Die Verwendung eines reservierten VLAN kann einen Denial-of-Service-Fehler im Netzwerk verursachen.
  • Stellen Sie sicher, dass für Portgruppen nicht VLAN 4095 konfiguriert ist, außer für Virtual Guest Tagging (VGT). Durch Festlegen von VLAN 4095 für eine Portgruppe wird der VGT-Modus aktiviert. In diesem Modus übermittelt der virtuelle Switch alle Netzwerk-Frames an die virtuelle Maschine, ohne die VLAN-Tags zu ändern, und überlässt deren Verarbeitung der virtuellen Maschine.
  • Beschränken Sie Außerkraftsetzungen für die Konfiguration auf Portebene auf einem verteilten virtuellen Switch. Außerkraftsetzungen für die Konfiguration auf Portebene sind standardmäßig deaktiviert. Bei aktivierten Außerkraftsetzungen können Sie andere Sicherheitseinstellungen für eine virtuelle Maschine verwenden als die Einstellungen auf Portgruppenebene. Für bestimmte virtuelle Maschinen sind andere Konfigurationen erforderlich. Dies muss jedoch unbedingt überwacht werden. Wenn Außerkraftsetzungen nicht überwacht werden, kann jeder, der sich Zugriff auf eine virtuelle Maschine mit einer weniger sicheren Konfiguration für den virtuellen Switch verschafft, diese Sicherheitslücke auszunutzen versuchen.
  • Stellen Sie sicher, dass gespiegelter Verkehr auf einem Port des verteilten virtuellen Switches nur an autorisierte Collector-Ports oder VLANs gesendet wird. Ein vSphere Distributed Switch kann Datenverkehr zwischen Ports spiegeln, damit Paketerfassungsgeräte bestimmte Verkehrsflussdaten erfassen können. Bei der Portspiegelung wird eine Kopie des gesamten angegebenen Datenverkehrs in unverschlüsseltem Format gesendet. Dieser gespiegelte Datenverkehr enthält die kompletten Daten in den erfassten Paketen und kann, wenn er an das falsche Ziel weitergeleitet wird, ein Datenleck verursachen. Wenn Portspiegelung erforderlich ist, sollten Sie sicherstellen, dass alle Ziel-VLAN-, Port- und Uplink-IDs der Portspiegelung richtig sind.

Bezeichnungen von vSphere-Netzwerkkomponenten

Das Identifizieren der unterschiedlichen Komponenten Ihrer vSphere-Netzwerkarchitektur ist wichtig. Dadurch wird sichergestellt, dass es bei der Vergrößerung Ihres Netzwerks nicht zu Fehlern kommt.

Befolgen Sie diese Best Practices:

  • Stellen Sie sicher, dass Portgruppen mit einer eindeutigen Netzwerkbezeichnung konfiguriert sind. Diese Bezeichnungen dienen als funktionale Deskriptoren für die Portgruppen und helfen Ihnen dabei, die Funktion jeder Portgruppe zu identifizieren, wenn das Netzwerk komplexer wird.
  • Stellen Sie sicher, dass jeder vSphere Distributed Switch über eine eindeutige Netzwerkbezeichnung verfügt, die die Funktion oder das IP-Subnetz des Switches angibt. Diese Bezeichnung dient als funktionaler Deskriptor für den Switch, genauso wie physische Switches einen Hostnamen erfordern. Sie können den Switch beispielsweise als intern bezeichnen, um darauf hinzuweisen, dass er für interne Netzwerke dient. Sie können die Bezeichnung für einen virtuellen Standard-Switch nicht ändern.

Dokumentieren und Überprüfen der vSphere-VLAN-Umgebung

Überprüfen Sie Ihre VLAN-Umgebung regelmäßig, um Probleme zu vermeiden. Dokumentieren Sie Ihre vSphere-VLAN-Umgebung umfassend und stellen Sie sicher, dass VLAN-IDs nur einmal verwendet werden. Ihre Dokumentation kann bei der Fehlerbehebung helfen und spielt bei der Erweiterung Ihrer Umgebung eine wichtige Rolle.

Prozedur

  1. Vollständige Dokumentation aller vSphere- und VLAN-IDs
    Bei Verwendung von VLAN-Tagging auf virtuellen Switches müssen die IDs mit denen der externen VLAN-fähigen Upstream-Switches übereinstimmen. Wenn die VLAN-IDs nicht vollständig nachverfolgbar sind, kann es zu Wiederverwendung von IDs kommen und damit zu Datenverkehr zwischen den falschen physischen und virtuellen Maschinen. Ebenso kann bei fehlenden oder falschen VLAN-IDs der Datenverkehr zwischen physischen und virtuellen Maschinen an unerwünschten Stellen blockiert werden.
  2. Sorgen Sie für eine vollständige Dokumentation der VLAN-IDs von allen verteilten virtuellen Portgruppen (dvPortgroup-Instanzen).
    Bei Verwendung von VLAN-Tagging in einer dvPortgroup müssen die IDs mit denen der externen VLAN-fähigen Upstream-Switches übereinstimmen. Wenn die VLAN-IDs nicht vollständig nachverfolgbar sind, kann es zu Wiederverwendung von IDs kommen und damit zu Datenverkehr zwischen den falschen physischen und virtuellen Maschinen. Ebenso kann bei fehlenden oder falschen VLAN-IDs der Datenverkehr zwischen physischen und virtuellen Maschinen an unerwünschten Stellen blockiert werden.
  3. Sorgen Sie für eine vollständige Dokumentation der VLAN-IDs von allen verteilten virtuellen Switches.
    Private VLANs (PVLANs) für verteilte virtuelle Switches erfordern primäre und sekundäre VLAN-IDs. Diese IDs müssen mit denen der externen PVLAN-fähigen Upstream-Switches übereinstimmen. Wenn die VLAN-IDs nicht vollständig nachverfolgbar sind, kann es zu Wiederverwendung von IDs kommen und damit zu Datenverkehr zwischen den falschen physischen und virtuellen Maschinen. Ebenso kann bei fehlenden oder falschen PVLAN-IDs der Datenverkehr zwischen physischen und virtuellen Maschinen an unerwünschten Stellen blockiert werden.
  4. Stellen Sie sicher, dass VLAN-Trunk-Links nur mit physischen Switch-Ports verbunden sind, die als Trunk-Links agieren.
    Beim Verbinden eines virtuellen Switches mit einem VLAN-Trunk-Port müssen Sie sowohl den virtuellen Switch als auch den physischen Switch am Uplink-Port ordnungsgemäß konfigurieren. Wenn der physische Switch nicht ordnungsgemäß konfiguriert ist, werden Frames mit dem VLAN 802.1q-Header an einen Switch weitergeleitet, der diese Frames nicht erwartet.

Einführung von Netzwerkisolierungspraktiken in vSphere

Mit Netzwerkisolierungspraktiken können Sie die Netzwerksicherheit in der vSphere-Umgebung erhöhen.

Isolieren des vSphere-Verwaltungsnetzwerks

Das vSphere-Verwaltungsnetzwerk bietet Zugriff auf die vSphere-Verwaltungsschnittstelle der einzelnen Komponenten. Die Dienste, die auf der Verwaltungsschnittstelle ausgeführt werden, bieten Angreifern die Chance, sich privilegierten Zugriff auf die Systeme zu verschaffen. Die Wahrscheinlichkeit ist hoch, dass Remoteangriffe mit der Verschaffung von Zugriff auf dieses Netzwerk beginnen. Wenn ein Angreifer sich Zugriff auf das Verwaltungsnetzwerk verschafft, hat er eine gute Ausgangsposition für ein weiteres Eindringen.

Kontrollieren Sie den Zugriff auf das Verwaltungsnetzwerk streng, indem Sie es mit der Sicherheitsebene der sichersten VM, die auf einem ESXi-Host oder -Cluster ausgeführt wird, schützen. Unabhängig davon, wie stark das Verwaltungsnetzwerk eingeschränkt ist, benötigen Administratoren Zugriff auf dieses Netzwerk, um die ESXi-Hosts und das vCenter Server-System zu konfigurieren.

Platzieren Sie die vSphere-Verwaltungsportgruppe in einem dedizierten VLAN auf einem üblichen Standard-Switch. Der Produktionsdatenverkehr (VM) kann den Standard-Switch freigeben, wenn das VLAN der vSphere-Verwaltungsportgruppe nicht von Produktions-VMs verwendet wird.

Überprüfen Sie, ob das Netzwerksegment nicht geroutet ist, mit Ausnahme von Netzwerken, in denen andere verwaltungsrelevante Elemente gefunden wurden. Das Routing eines Netzwerksegments kann für vSphere Replication sinnvoll sein. Stellen Sie insbesondere sicher, dass der Datenverkehr der Produktions-VM nicht zu diesem Netzwerk geroutet werden kann.

Kontrollieren Sie den Zugriff auf Verwaltungsfunktionen mithilfe eines der folgenden Ansätze streng.
  • Konfigurieren Sie für den Zugriff auf das Verwaltungsnetzwerk in besonders vertraulichen Umgebungen ein kontrolliertes Gateway oder eine andere Kontrollmethode. Legen Sie beispielsweise fest, dass Administratoren eine Verbindung zum Verwaltungsnetzwerk über ein VPN herstellen müssen. Gestatten Sie den Zugriff auf das Verwaltungsnetzwerk nur vertrauenswürdigen Administratoren.
  • Konfigurieren Sie Bastionhosts, die Verwaltungsclients ausführen.

Isolieren von Speicherdatenverkehr

Stellen Sie sicher, dass der IP-basierte Speicherdatenverkehr isoliert ist. IP-basierter Speicher umfasst iSCSI und NFS. Virtuelle Maschinen können virtuelle Switches und VLANs mit den IP-basierten Speicherkonfigurationen gemeinsam benutzen. Bei diesem Konfigurationstyp kann der IP-basierte Speicherdatenverkehr unautorisierten Benutzern der virtuellen Maschine ausgesetzt sein.

IP-basierter Speicher ist häufig nicht verschlüsselt. Jeder Benutzer mit Zugriff auf dieses Netzwerk kann IP-basierten Speicherdatenverkehr anzeigen. Um zu verhindern, dass unautorisierte Benutzer den IP-basierten Speicherdatenverkehr anzeigen, trennen Sie den IP-basierten Speicher-Netzwerkdatenverkehr logisch vom Produktionsdatenverkehr. Konfigurieren Sie die IP-basierten Speicheradapter auf getrennten VLAns oder Netzwerksegmenten im VMkernel-Verwaltungsnetzwerk, um zu verhindern, dass unautorisierte Benutzer den Datenverkehr einsehen.

Isolieren von vMotion-Datenverkehr

vMotion-Migrationsinformationen werden als einfacher Text übermittelt. Jeder Benutzer mit Zugriff auf das Netzwerk, über das diese Informationen fließen, kann sie anzeigen. Potenzielle Angreifer können vMotion-Datenverkehr abfangen, um an die Speicherinhalte einer VM zu gelangen. Sie können auch einen MITM-Angriff durchführen, bei dem die Inhalte während der Migration geändert werden.

Trennen Sie den vMotion-Datenverkehr vom Produktionsdatenverkehr in einem isolierten Netzwerk. Richten Sie das Netzwerk so ein, dass es nicht routing-fähig ist. Stellen Sie also sicher, dass kein Layer 3-Router dieses und andere Netzwerke umfasst, um Fremdzugriff auf das Netzwerk zu verhindern.

Verwenden Sie ein dediziertes VLAN auf einem üblichen Standard-Switch für die vMotion-Portgruppe. Der Produktionsdatenverkehr (VM) kann den gleichen Standard-Switch nutzen, wenn das VLAN der vMotion-Portgruppe VLAN nicht von Produktions-VMs verwendet wird.

Isolieren von vSAN-Datenverkehr

Isolieren Sie bei der Konfiguration Ihres vSAN-Netzwerks den vSAN-Datenverkehr in einem eigenen Schicht-2-Netzwerksegment. Sie können diesen Vorgang mithilfe von dedizierten Switches oder Ports oder mithilfe eines VLAN durchführen.

Bedarfsgerechtes Verwenden von virtuellen Switches mit der vSphere Network Appliance-API

Konfigurieren Sie den Host nicht zum Senden von Netzwerkinformationen an eine virtuelle Maschine, es sei denn, Sie verwenden Produkte, die die vSphere Network Appliance API (DvFilter) nutzen. Wenn die vSphere Network Appliance API aktiviert ist, kann ein Angreifer versuchen, eine virtuelle Maschine mit dem Filter zu verbinden. Diese Verbindung kann Zugriff auf das Netzwerk anderer virtueller Maschinen auf dem Host bereitstellen.

Wenn Sie ein Produkt verwenden, das diese API nutzt, überprüfen Sie, ob der Host ordnungsgemäß konfiguriert ist. Informationen finden Sie in den Abschnitten zu DvFilter in der Dokumentation Entwickeln und Bereitstellen von vSphere-Lösungen, vServices und ESX-Agenten. Wenn Ihr Host zum Verwenden der API eingerichtet ist, stellen Sie sicher, dass der Wert des Parameters Net.DVFilterBindIpAddress dem Produkt entspricht, das die API verwendet.

Prozedur

  1. Navigieren Sie zum Host im Navigator von vSphere Client.
  2. Klicken Sie auf Konfigurieren.
  3. Klicken Sie unter „System“ auf Erweiterte Systemeinstellungen.
  4. Führen Sie einen Bildlauf nach unten zu Net.DVFilterBindIpAddress aus und überprüfen Sie, ob der Parameter einen leeren Wert aufweist.
    Die Reihenfolge der Parameter ist nicht streng alphabetisch. Geben Sie DVFilter in das Textfeld „Filter“ ein, um alle zugehörigen Parameter anzuzeigen.
  5. Überprüfen Sie die Einstellung.
    • Wenn Sie die DvFilter-Einstellungen nicht verwenden, stellen Sie sicher, dass der Wert leer ist.
    • Wenn Sie die DvFilter-Einstellungen nicht verwenden, stellen Sie sicher, dass der Parameterwert richtig ist. Der Wert muss mit dem Wert übereinstimmen, den das Produkt, das den DvFilter verwendet, verwendet.