Die Einhaltung der Best Practices für die Netzwerksicherheit dient der Integritätswahrung Ihrer vSphere-Bereitstellung.
Allgemeine Empfehlungen für die vSphere-Netzwerksicherheit
Das Befolgen allgemeiner Netzwerksicherheitsempfehlungen ist der erste Schritt zum Absichern Ihrer vSphere-Netzwerkumgebung. Anschließend können Sie sich spezielle Bereiche vornehmen, wie Absichern des Netzwerks mit Firewalls oder Verwendung von IPsec.
Empfehlungen zum Sichern einer vSphere-Netzwerkumgebung
- Das Spanning-Tree-Protokoll (STP) erkennt und verhindert die Bildung von Schleifen in der Netzwerktopologie. Virtuelle VMware-Switches verhindern Schleifen anderweitig, bieten aber keine direkte Unterstützung für STP. Wenn sich die Netzwerktopologie ändert, dauert es zwischen 30 und 50 Sekunden, bis das Netzwerk die Topologie erneut erlernt. Während dieser Zeit darf kein Datenverkehr übertragen werden. Zur Vermeidung dieser Probleme haben Netzwerkanbieter Funktionen zum Aktivieren von Switch-Ports erstellt, die die Weiterleitung des Datenverkehrs fortsetzen. Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/1003804. In der Dokumentation des Netzwerkanbieters finden Sie Informationen zu geeigneten Konfigurationen für das Netzwerk und die Netzwerkhardware.
- Stellen Sie sicher, dass Netflow-Daten für einen verteilten virtuellen Switch nur an autorisierte Collector-IP-Adressen gesendet werden. Netflow-Exporte werden nicht verschlüsselt und können Informationen über das virtuelle Netzwerk enthalten. Diese vertraulichen Informationen können unter Umständen während der Übertragung von Angreifern angezeigt und erfasst werden. Wenn ein Netflow-Export erforderlich ist, prüfen Sie, ob alle Netflow-Ziel-IP-Adressen korrekt sind.
- Stellen Sie mithilfe der rollenbasierten Zugriffssteuerung sicher, dass nur autorisierte Administratoren Zugriff auf virtuelle Netzwerkkomponenten haben. Geben Sie beispielsweise Administratoren virtueller Maschinen nur Zugriff auf Portgruppen, in denen sich ihre virtuellen Maschinen befinden. Geben Sie Netzwerkadministratoren Berechtigungen für alle virtuellen Netzwerkkomponenten, aber keinen Zugriff auf virtuelle Maschinen. Durch Beschränkung des Zugriffs verringert sich das Risiko einer Fehlkonfiguration, sei es zufällig oder absichtlich, und wichtige Sicherheitskonzepte der Trennung der Verantwortlichkeiten und der geringsten Berechtigung werden in Kraft gesetzt.
- Stellen Sie sicher, dass für Portgruppen nicht der Wert des nativen VLAN konfiguriert ist. Physische Switches werden häufig mit einem nativen VLAN konfiguriert, bei dem es sich standardmäßig um VLAN 1 handelt. ESXi verfügt nicht über ein natives VLAN. Frames, für die das VLAN in der Portgruppe angegeben ist, weisen ein Tag auf, aber Frames, für die kein VLAN in der Portgruppe angegeben ist, werden nicht gekennzeichnet. Dies kann zu Problemen führen, da mit „1“ gekennzeichnete virtuelle Maschinen am Ende zum nativen VLAN des physischen Switches gehören.
Beispielsweise werden Frames in VLAN 1 von einem physischen Cisco-Switch nicht gekennzeichnet, da VLAN1 das native VLAN auf diesem physischen Switch ist. Frames vom ESXi-Host, die als VLAN 1 festgelegt sind, werden jedoch mit einer „1“ gekennzeichnet. Das führt dazu, dass für das native VLAN bestimmter Datenverkehr vom ESXi-Host nicht korrekt weitergeleitet wird, da er mit einer „1“ gekennzeichnet ist, statt keine Kennzeichnung aufzuweisen. Datenverkehr vom physischen Switch, der vom nativen VLAN stammt, ist nicht sichtbar, da er nicht gekennzeichnet ist. Wenn die ESXi-Portgruppe für den virtuellen Switch die native VLAN-ID verwendet, ist Datenverkehr von virtuellen Maschinen auf diesem Port nicht für das native VLAN auf dem Switch sichtbar, da der Switch nicht gekennzeichneten Datenverkehr erwartet.
- Stellen Sie sicher, dass für Portgruppen keine VLAN-Werte konfiguriert sind, die für physische Upstream-Switches reserviert sind. Physische Switches reservieren bestimmte VLAN-IDs zu internen Zwecken und erlauben mit diesen Werten konfigurierten Datenverkehr in vielen Fällen nicht. Beispielsweise reservieren Cisco Catalyst-Switches in der Regel die VLANs 1001 bis 1024 und 4094. Die Verwendung eines reservierten VLAN kann einen Denial-of-Service-Fehler im Netzwerk verursachen.
- Stellen Sie sicher, dass für Portgruppen nicht VLAN 4095 konfiguriert ist, außer für Virtual Guest Tagging (VGT). Durch Festlegen von VLAN 4095 für eine Portgruppe wird der VGT-Modus aktiviert. In diesem Modus übermittelt der virtuelle Switch alle Netzwerk-Frames an die virtuelle Maschine, ohne die VLAN-Tags zu ändern, und überlässt deren Verarbeitung der virtuellen Maschine.
- Beschränken Sie Außerkraftsetzungen für die Konfiguration auf Portebene auf einem verteilten virtuellen Switch. Außerkraftsetzungen für die Konfiguration auf Portebene sind standardmäßig deaktiviert. Bei aktivierten Außerkraftsetzungen können Sie andere Sicherheitseinstellungen für eine virtuelle Maschine verwenden als die Einstellungen auf Portgruppenebene. Für bestimmte virtuelle Maschinen sind andere Konfigurationen erforderlich. Dies muss jedoch unbedingt überwacht werden. Wenn Außerkraftsetzungen nicht überwacht werden, kann jeder, der sich Zugriff auf eine virtuelle Maschine mit einer weniger sicheren Konfiguration für den virtuellen Switch verschafft, diese Sicherheitslücke auszunutzen versuchen.
- Stellen Sie sicher, dass gespiegelter Verkehr auf einem Port des verteilten virtuellen Switches nur an autorisierte Collector-Ports oder VLANs gesendet wird. Ein vSphere Distributed Switch kann Datenverkehr zwischen Ports spiegeln, damit Paketerfassungsgeräte bestimmte Verkehrsflussdaten erfassen können. Bei der Portspiegelung wird eine Kopie des gesamten angegebenen Datenverkehrs in unverschlüsseltem Format gesendet. Dieser gespiegelte Datenverkehr enthält die kompletten Daten in den erfassten Paketen und kann, wenn er an das falsche Ziel weitergeleitet wird, ein Datenleck verursachen. Wenn Portspiegelung erforderlich ist, sollten Sie sicherstellen, dass alle Ziel-VLAN-, Port- und Uplink-IDs der Portspiegelung richtig sind.
Bezeichnungen von vSphere-Netzwerkkomponenten
Das Identifizieren der unterschiedlichen Komponenten Ihrer vSphere-Netzwerkarchitektur ist wichtig. Dadurch wird sichergestellt, dass es bei der Vergrößerung Ihres Netzwerks nicht zu Fehlern kommt.
Befolgen Sie diese Best Practices:
- Stellen Sie sicher, dass Portgruppen mit einer eindeutigen Netzwerkbezeichnung konfiguriert sind. Diese Bezeichnungen dienen als funktionale Deskriptoren für die Portgruppen und helfen Ihnen dabei, die Funktion jeder Portgruppe zu identifizieren, wenn das Netzwerk komplexer wird.
- Stellen Sie sicher, dass jeder vSphere Distributed Switch über eine eindeutige Netzwerkbezeichnung verfügt, die die Funktion oder das IP-Subnetz des Switches angibt. Diese Bezeichnung dient als funktionaler Deskriptor für den Switch, genauso wie physische Switches einen Hostnamen erfordern. Sie können den Switch beispielsweise als intern bezeichnen, um darauf hinzuweisen, dass er für interne Netzwerke dient. Sie können die Bezeichnung für einen virtuellen Standard-Switch nicht ändern.
Dokumentieren und Überprüfen der vSphere-VLAN-Umgebung
Überprüfen Sie Ihre VLAN-Umgebung regelmäßig, um Probleme zu vermeiden. Dokumentieren Sie Ihre vSphere-VLAN-Umgebung umfassend und stellen Sie sicher, dass VLAN-IDs nur einmal verwendet werden. Ihre Dokumentation kann bei der Fehlerbehebung helfen und spielt bei der Erweiterung Ihrer Umgebung eine wichtige Rolle.
Prozedur
Einführung von Netzwerkisolierungspraktiken in vSphere
Mit Netzwerkisolierungspraktiken können Sie die Netzwerksicherheit in der vSphere-Umgebung erhöhen.
Isolieren des vSphere-Verwaltungsnetzwerks
Das vSphere-Verwaltungsnetzwerk bietet Zugriff auf die vSphere-Verwaltungsschnittstelle der einzelnen Komponenten. Die Dienste, die auf der Verwaltungsschnittstelle ausgeführt werden, bieten Angreifern die Chance, sich privilegierten Zugriff auf die Systeme zu verschaffen. Die Wahrscheinlichkeit ist hoch, dass Remoteangriffe mit der Verschaffung von Zugriff auf dieses Netzwerk beginnen. Wenn ein Angreifer sich Zugriff auf das Verwaltungsnetzwerk verschafft, hat er eine gute Ausgangsposition für ein weiteres Eindringen.
Kontrollieren Sie den Zugriff auf das Verwaltungsnetzwerk streng, indem Sie es mit der Sicherheitsebene der sichersten VM, die auf einem ESXi-Host oder -Cluster ausgeführt wird, schützen. Unabhängig davon, wie stark das Verwaltungsnetzwerk eingeschränkt ist, benötigen Administratoren Zugriff auf dieses Netzwerk, um die ESXi-Hosts und das vCenter Server-System zu konfigurieren.
Platzieren Sie die vSphere-Verwaltungsportgruppe in einem dedizierten VLAN auf einem üblichen Standard-Switch. Der Produktionsdatenverkehr (VM) kann den Standard-Switch freigeben, wenn das VLAN der vSphere-Verwaltungsportgruppe nicht von Produktions-VMs verwendet wird.
Überprüfen Sie, ob das Netzwerksegment nicht geroutet ist, mit Ausnahme von Netzwerken, in denen andere verwaltungsrelevante Elemente gefunden wurden. Das Routing eines Netzwerksegments kann für vSphere Replication sinnvoll sein. Stellen Sie insbesondere sicher, dass der Datenverkehr der Produktions-VM nicht zu diesem Netzwerk geroutet werden kann.
- Konfigurieren Sie für den Zugriff auf das Verwaltungsnetzwerk in besonders vertraulichen Umgebungen ein kontrolliertes Gateway oder eine andere Kontrollmethode. Legen Sie beispielsweise fest, dass Administratoren eine Verbindung zum Verwaltungsnetzwerk über ein VPN herstellen müssen. Gestatten Sie den Zugriff auf das Verwaltungsnetzwerk nur vertrauenswürdigen Administratoren.
- Konfigurieren Sie Bastionhosts, die Verwaltungsclients ausführen.
Isolieren von Speicherdatenverkehr
Stellen Sie sicher, dass der IP-basierte Speicherdatenverkehr isoliert ist. IP-basierter Speicher umfasst iSCSI und NFS. Virtuelle Maschinen können virtuelle Switches und VLANs mit den IP-basierten Speicherkonfigurationen gemeinsam benutzen. Bei diesem Konfigurationstyp kann der IP-basierte Speicherdatenverkehr unautorisierten Benutzern der virtuellen Maschine ausgesetzt sein.
IP-basierter Speicher ist häufig nicht verschlüsselt. Jeder Benutzer mit Zugriff auf dieses Netzwerk kann IP-basierten Speicherdatenverkehr anzeigen. Um zu verhindern, dass unautorisierte Benutzer den IP-basierten Speicherdatenverkehr anzeigen, trennen Sie den IP-basierten Speicher-Netzwerkdatenverkehr logisch vom Produktionsdatenverkehr. Konfigurieren Sie die IP-basierten Speicheradapter auf getrennten VLAns oder Netzwerksegmenten im VMkernel-Verwaltungsnetzwerk, um zu verhindern, dass unautorisierte Benutzer den Datenverkehr einsehen.
Isolieren von vMotion-Datenverkehr
vMotion-Migrationsinformationen werden als einfacher Text übermittelt. Jeder Benutzer mit Zugriff auf das Netzwerk, über das diese Informationen fließen, kann sie anzeigen. Potenzielle Angreifer können vMotion-Datenverkehr abfangen, um an die Speicherinhalte einer VM zu gelangen. Sie können auch einen MITM-Angriff durchführen, bei dem die Inhalte während der Migration geändert werden.
Trennen Sie den vMotion-Datenverkehr vom Produktionsdatenverkehr in einem isolierten Netzwerk. Richten Sie das Netzwerk so ein, dass es nicht routing-fähig ist. Stellen Sie also sicher, dass kein Layer 3-Router dieses und andere Netzwerke umfasst, um Fremdzugriff auf das Netzwerk zu verhindern.
Verwenden Sie ein dediziertes VLAN auf einem üblichen Standard-Switch für die vMotion-Portgruppe. Der Produktionsdatenverkehr (VM) kann den gleichen Standard-Switch nutzen, wenn das VLAN der vMotion-Portgruppe VLAN nicht von Produktions-VMs verwendet wird.
Isolieren von vSAN-Datenverkehr
Isolieren Sie bei der Konfiguration Ihres vSAN-Netzwerks den vSAN-Datenverkehr in einem eigenen Schicht-2-Netzwerksegment. Sie können diesen Vorgang mithilfe von dedizierten Switches oder Ports oder mithilfe eines VLAN durchführen.
Bedarfsgerechtes Verwenden von virtuellen Switches mit der vSphere Network Appliance-API
Konfigurieren Sie den Host nicht zum Senden von Netzwerkinformationen an eine virtuelle Maschine, es sei denn, Sie verwenden Produkte, die die vSphere Network Appliance API (DvFilter) nutzen. Wenn die vSphere Network Appliance API aktiviert ist, kann ein Angreifer versuchen, eine virtuelle Maschine mit dem Filter zu verbinden. Diese Verbindung kann Zugriff auf das Netzwerk anderer virtueller Maschinen auf dem Host bereitstellen.
Wenn Sie ein Produkt verwenden, das diese API nutzt, überprüfen Sie, ob der Host ordnungsgemäß konfiguriert ist. Informationen finden Sie in den Abschnitten zu DvFilter in der Dokumentation Entwickeln und Bereitstellen von vSphere-Lösungen, vServices und ESX-Agenten. Wenn Ihr Host zum Verwenden der API eingerichtet ist, stellen Sie sicher, dass der Wert des Parameters Net.DVFilterBindIpAddress dem Produkt entspricht, das die API verwendet.