La adopción de prácticas de aislamiento de red de sonido refuerza en gran medida el entorno de vSphere.

Aislar la red de administración

La red de administración de vSphere proporciona acceso a la interfaz de administración de vSphere en cada componente. Los servicios que se ejecutan en la interfaz de administración ofrecen una oportunidad para que un atacante obtenga acceso con privilegios a los sistemas. Los ataques remotos suelen comenzar al obtener acceso a esta red. Si un atacante obtiene acceso a la red de administración, significa que ha dado un gran paso para seguir obteniendo acceso no autorizado.

Para lograr un control estricto del acceso a la red de administración, protéjalo con el nivel de seguridad de la máquina virtual más segura que se ejecuta en un host o clúster de ESXi. Más allá del nivel de restricción que tenga la red de administración, los administradores deben acceder a ella para configurar los hosts ESXi y el sistema vCenter Server.

Coloque el grupo de puertos de administración de vSphere en una VLAN dedicada de un vSwitch común. El vSwitch se puede compartir con el tráfico de producción (máquina virtual), siempre y cuando las máquinas virtuales de producción no utilicen la VLAN del grupo de puertos de administración de vSphere. Compruebe que el segmento de red no se encuentre enrutado, excepto si se enrutó a redes donde se alojan otras entidades de administración, por ejemplo, en conjunto con vSphere Replication. En particular, asegúrese de que el tráfico de las máquinas virtuales de producción no se pueda enrutar a esta red.

Utilice uno de los siguientes métodos para habilitar el acceso a la funcionalidad de administración de forma estrictamente controlada.

  • Para entornos de extrema confidencialidad, configure una puerta de enlace controlada u otro método controlado para acceder a la red de administración. Por ejemplo, realice la configuración de modo tal que se requiera que los administradores se conecten a la red de administración a través de una VPN, y permita el acceso solo a los administradores de confianza.

  • Configure JumpBoxes que ejecuten clientes de administración.

Aislar el tráfico de almacenamiento

Compruebe que el tráfico de almacenamiento basado en IP esté aislado. El almacenamiento basado en IP incluye iSCSI y NFS. Las máquinas virtuales pueden compartir conmutadores virtuales y VLAN con configuraciones de almacenamiento basadas en IP. Este tipo de configuración puede exponer el tráfico de almacenamiento basado en IP a usuarios de máquinas virtuales no autorizados.

El almacenamiento basado en IP casi nunca está cifrado; cualquiera que tenga acceso a esta red puede verlo. Para impedir que usuarios no autorizados vean el tráfico de almacenamiento basado en IP, separe lógicamente el tráfico de red de almacenamiento basado en IP del tráfico de producción. Configure los adaptadores de almacenamiento basado en IP en VLAN distintas o segmentos de red de la red de administración VMkernel para restringir la visualización del tráfico a usuarios no autorizados.

Aislar el tráfico de vMotion

La información de migración de VMotion se transmite en texto sin formato. Cualquiera que tenga acceso a la red puede ver la información que pasa por ella. Los posibles atacantes pueden interceptar el tráfico de vMotion para obtener el contenido de memoria de una máquina virtual. También pueden preparar un ataque de MiTM en el que el contenido se modifica durante la migración.

Separe el tráfico de vMotion del tráfico de producción en una red aislada. Configure la red para que no se pueda enrutar, es decir, asegúrese de que no haya un enrutador de Capa 3 expandiendo esta u otras redes, a fin de restringir el acceso exterior a esta red.

El grupo de puertos de vMotion debe estar en la VLAN dedicada de un vSwitch común. El vSwitch se puede compartir con el tráfico de producción (máquina virtual), siempre y cuando las máquinas virtuales de producción no utilicen la VLAN del grupo de puertos de vMotion.