La capa de redes virtuales incluye adaptadores de red virtual, conmutadores virtuales, conmutadores virtuales distribuidos, y puertos y grupos de puertos. ESXi se basa en la capa de redes virtuales para establecer las comunicaciones entre las máquinas virtuales y sus usuarios. Asimismo, ESXi utiliza la capa de redes virtuales para comunicarse con las SAN iSCSI, el almacenamiento NAS, etc.

vSphere incluye la matriz completa de características necesarias para una infraestructura segura de redes. Puede proteger cada elemento de la infraestructura por separado, como los conmutadores virtuales, los conmutadores virtuales distribuidos, los adaptadores de red virtuales, etc. Por otra parte, considere las siguientes instrucciones, que se analizan más detalladamente en Proteger las redes de vSphere.

Aislamiento del tráfico de red

El aislamiento del tráfico de red es fundamental para proteger el entorno de ESXi. Las distintas redes requieren distintos niveles de aislamiento y acceso. La red de administración aísla los distintos tráficos (tráfico de clientes, de la interfaz de la línea de comandos (CLI) o de la API y del software de terceros) del tráfico normal. Esta red debe estar accesible únicamente para los administradores de sistemas, redes y seguridad.

Consulte Recomendaciones de seguridad para redes de ESXi.

Utilización de firewalls para proteger los elementos de la red virtual

Puede abrir y cerrar los puertos de firewall y proteger cada elemento de la red virtual por separado. Las reglas del firewall asocian los servicios con los firewalls correspondientes y pueden abrir y cerrar el firewall de ESXi de acuerdo con el estado del servicio.

Consulte Configurar firewalls de ESXi.

Consideración de las directivas de seguridad de red

La directiva de seguridad de redes ayuda a proteger el tráfico contra la suplantación de direcciones MAC y la exploración de puertos no deseada. La directiva de seguridad de un conmutador estándar o distribuido se implementa en la Capa 2 (capa de vínculo de datos) de la pila del protocolo de red. Los tres elementos de la directiva de seguridad son el modo promiscuo, los cambios de dirección MAC y las transmisiones falsificadas.

Consulte la documentación de Redes de vSphere para ver las instrucciones.

Protección de las redes de las máquinas virtuales

Los métodos que se utilizan para proteger la red de una máquina virtual dependen del sistema operativo invitado que está instalado, de si las máquinas virtuales funcionan en un entorno confiable y de varios otros factores. Los conmutadores virtuales y conmutadores virtuales distribuidos proporcionan un grado considerable de protección cuando se utilizan junto con otras prácticas de seguridad comunes, como la instalación de firewalls.

Consulte Proteger las redes de vSphere.

Consideración de VLAN para proteger el entorno

ESXi admite las VLAN IEEE 802.1q, que se pueden utilizar para proteger aún más la configuración de almacenamiento o de red de la máquina virtual. Las VLAN permiten segmentar una red física de modo que dos máquinas de la misma red física no puedan enviar o recibir paquetes entre ellas a menos que se encuentren en la misma VLAN.

Consulte Proteger las máquinas virtuales con VLAN.

Protección de las conexiones con el almacenamiento virtualizado

Una máquina virtual almacena archivos del sistema operativo, archivos de programas y otros datos en un disco virtual. Cada disco virtual figura en la máquina virtual como una unidad SCSI que está conectada a una controladora SCSI. La máquina virtual está aislada de los detalles de almacenamiento y no puede acceder a la información del LUN donde reside el disco virtual.

Virtual Machine File System (VMFS) es un sistema de archivos distribuidos y administrador de volumen que presenta volúmenes virtuales en el host ESXi. Usted es responsable de proteger la conexión con el almacenamiento. Por ejemplo, si se está utilizando el almacenamiento iSCSI, se puede configurar el entorno para que utilice CHAP y, si así lo establece la directiva de la empresa, para que utilice CHAP mutuo por medio de vSphere Web Client o de las CLI.

Consulte Prácticas recomendadas de seguridad de almacenamiento.

Evaluación de la utilización de IPsec

ESXi admite IPsec para IPv6. No se puede utilizar IPsec para IPv4.

Consulte Seguridad del protocolo de Internet.

Asimismo, evalúe si VMware NSX for vSphere es una solución adecuada para proteger la capa de redes del entorno.