La seguridad de red para el entorno de vSphere contiene muchas características similares a la protección de un entorno de red física, pero también incluye algunas otras que se aplican solamente a las máquinas virtuales.

Firewalls

Agregue protección de firewall a la red virtual mediante la instalación y la configuración de firewalls basados en host en algunas o todas las máquinas virtuales.

Para mejorar la eficiencia, puede configurar redes virtuales o redes Ethernet de máquinas virtuales privadas. En las redes virtuales, se instala un firewall basado en host en una máquina virtual en el encabezado de la red virtual. Este firewall funciona como búfer de protección entre el adaptador de red físico y las máquinas virtuales restantes de la red virtual.

Dado que los firewalls basados en host también pueden disminuir el rendimiento, pondere las necesidades de seguridad y los objetivos de rendimiento antes de instalar firewalls basados en host en las máquinas virtuales de alguna otra parte de la red virtual.

Consulte Proteger la red con firewalls.

Segmentar

Mantenga las zonas de máquinas virtuales diferentes dentro de un host en distintos segmentos de red. Al aislar cada zona de máquinas virtuales en su propio segmento de red, es posible minimizar el riesgo de pérdidas de datos entre una zona y la siguiente. La segmentación evita diversas amenazas, como la suplantación de protocolo Address Resolution Protocol (ARP), por la cual un atacante manipula la tabla de ARP y reasigna direcciones MAC e IP con el fin de acceder al tráfico de red que entra y sale de un host. Los atacantes usan la suplantación de protocolo ARP para generar ataques de tipo "Man in the middle" (MITM), realizar ataques por denegación de servicio (DoS), secuestrar el sistema de destino y desestabilizar la red virtual de otras maneras.

Si la segmentación se planifica minuciosamente, se reducen las posibilidades de transmisiones de paquetes entre las zonas de máquinas virtuales. Esto evita los ataques de analizadores de protocolos (sniffer) que implican enviar tráfico de red a la víctima. Asimismo, un atacante no puede usar un servicio que no sea seguro en una zona de máquinas virtuales para acceder a otras zonas del host. El usuario puede elegir entre dos enfoques para implementar la segmentación. Cada enfoque aporta distintos beneficios.

  • Use adaptadores de red físicos separados para las zonas de máquinas virtuales a fin de garantizar que las zonas queden aisladas. Probablemente, este es el método más seguro y menos proclive a producir errores de configuración después de la creación inicial del segmento.

  • Configure redes de área local virtuales (VLAN) para ayudar a proteger la red. Dado que proporcionan casi todos los beneficios de seguridad inherentes a la implementación de redes físicamente separadas sin la sobrecarga de hardware, las VLAN representan una solución viable que permite evitar los costos de implementación y mantenimiento de dispositivos adicionales, cableado, etc. Consulte Proteger las máquinas virtuales con VLAN.

Evitar el acceso no autorizado

Si la red de máquinas virtuales está conectada a una red física, puede quedar expuesta a infracciones, al igual que una red compuesta de máquinas físicas. Aunque la red de máquinas virtuales esté aislada de la red física, las máquinas virtuales de la red pueden ser víctimas de ataques procedentes de otras máquinas virtuales de la red. Los requisitos para proteger las máquinas virtuales suelen ser los mismos que para proteger máquinas físicas.

Las máquinas virtuales permanecen aisladas unas de otras. Una máquina virtual no puede leer ni escribir la memoria de otra máquina virtual, acceder a sus datos, usar sus aplicaciones, etc. Sin embargo, dentro de la red, cualquier máquina virtual o grupo de máquinas virtuales puede continuar siendo objeto de acceso no autorizado desde otras máquinas virtuales y requerir más protección a través de medios externos.