El diseño del sistema ESXi permite conectar algunos grupos de máquinas virtuales a la red interna, otros a la red externa y otros a ambos, todos en el mismo host. Esta capacidad es una extensión del aislamiento básico de máquinas virtuales combinado con la utilización bien planificada de características de redes virtuales.

Figura 1. Redes externas, redes internas y una DMZ configuradas en un único host ESXi
Un host se configura en tres zonas de máquinas virtuales diferentes: servidor FTP, máquinas virtuales internas y DMZ.

En la figura, el administrador de sistema configuró un host en tres zonas de máquinas virtuales diferentes: servidor FTP, máquinas virtuales internas y DMZ. Cada zona tiene una función única.

Servidor FTP

La máquina virtual 1 está configurada con el software FTP y actúa como área de retención de los datos enviados hacia los recursos externos y desde estos, como formularios y documentación localizados por un proveedor.

Esta máquina virtual solo está asociada con una red externa. Tiene su propio conmutador virtual y su propio adaptador de red físico que la conectan a la red externa 1. Esta red está dedicada a los servidores que usa la empresa para recibir datos de orígenes externos. Por ejemplo, la empresa utiliza la red externa 1 para recibir tráfico FTP de los proveedores, y permite a estos últimos acceder a los datos almacenados en servidores disponibles de forma externa a través de FTP. Además de atender a la máquina virtual 1, la red externa 1 se encarga de los servidores FTP configurados en diferentes hosts ESXi en todo el sitio.

Debido a que la máquina virtual 1 no comparte un conmutador virtual o un adaptador de red físico con ninguna máquina virtual del host, las otras máquinas virtuales residentes no pueden transmitir paquetes a la red de la máquina virtual 1 ni recibir paquetes de ella. Esta restricción evita los ataques por analizadores de protocolos (sniffer), que se basan en el envío de tráfico de red a la víctima. Otro factor más importante es que un atacante no puede utilizar la vulnerabilidad natural de FTP para acceder a ninguna de las otras máquinas virtuales del host.

Máquinas virtuales internas

Las máquinas virtuales 2 a 5 están reservadas para la utilización interna. Estas máquinas virtuales procesan y almacenan datos privados de la empresa, como registros médicos, declaraciones legales e investigaciones de fraude. Por lo tanto, los administradores del sistema deben garantizar el nivel más alto de protección de estas máquinas virtuales.

Estas máquinas virtuales se conectan a la red interna 2 mediante un conmutador virtual y un adaptador de red propios. La red interna 2 está reservada para la utilización interna por parte del personal, por ejemplo, procesadores de reclamos, abogados internos o tasadores.

Las máquinas virtuales 2 a 5 pueden comunicarse entre sí mediante el conmutador virtual, y con máquinas internas de otros lugares de la red interna 2 mediante el adaptador de red físico. Sin embargo, no pueden comunicarse con máquinas externas. Al igual que con el servidor FTP, estas máquinas virtuales no pueden enviar paquetes a las redes de las otras máquinas virtuales ni recibir paquetes de ellas. De forma similar, las otras máquinas virtuales del host no pueden enviar paquetes a las máquinas virtuales 2 a 5 ni recibir paquetes de ellas.

DMZ

Las máquinas virtuales 6 a 8 están configuradas como una DMZ que utiliza el grupo de comercialización para publicar el sitio web externo de la empresa.

Este grupo de máquinas virtuales está asociado con la red externa 2 y la red interna 1. La empresa utiliza la red externa 2 para admitir los servidores web que utilizan el departamento de comercialización y finanzas para alojar el sitio web de la empresa y otras características web para usuarios externos. La red interna 1 es el medio que utiliza el departamento de comercialización para publicar contenido en el sitio web de la empresa, publicar descargas y mantener servicios como los foros de usuarios.

Debido a que estas redes están separadas de la red externa 1 y la red interna 2, y las máquinas virtuales no tienen puntos de contacto compartidos (conmutadores o adaptadores), no existe riesgo de ataque hacia o desde el servidor FTP o el grupo de máquinas virtuales internas.

Al lograr el aislamiento de máquinas virtuales, configurar correctamente los conmutadores virtuales y mantener la separación de las redes, el administrador del sistema puede alojar las tres zonas de máquinas virtuales en el mismo host ESXi y estar seguro de que no se producirán infracciones de datos o recursos.

La empresa aplica el aislamiento en los grupos de máquinas virtuales mediante la utilización de varias redes internas y externas, y se asegura de que los conmutadores virtuales y los adaptadores de red físicos de cada grupo estén completamente separados de esos grupos o de otros.

Gracias a que ninguno de estos conmutadores virtuales favorece zonas de máquinas virtuales sobre las demás, el administrador del sistema logra eliminar el riesgo de pérdida de paquetes de una zona a la otra. Debido a su diseño, un conmutador virtual no puede perder paquetes directamente en otro conmutador virtual. La única forma de que los paquetes pasen de un conmutador virtual a otro es en estas circunstancias:

  • Los conmutadores virtuales están conectados a la misma LAN física.

  • Los conmutadores virtuales se conectan a una máquina virtual común, que se puede utilizar para transmitir paquetes.

Ninguna de estas condiciones se cumple en la configuración de ejemplo. Si los administradores del sistema quieren comprobar que no existen rutas de acceso a conmutadores virtuales comunes, pueden revisar la distribución de conmutadores de red de vSphere Web Client para buscar posibles puntos de contacto compartidos.

Para proteger los recursos de las máquinas virtuales, el administrador del sistema disminuye el riesgo de ataques DoS y DDoS mediante la configuración de una reserva de recursos y un límite para cada máquina virtual. El administrador del sistema protege aún más el host y las máquinas virtuales de ESXi mediante la instalación de firewalls de software en los extremos delanteros y traseros de la DMZ, que garantiza que el host esté detrás de un firewall físico, y la configuración de los recursos de almacenamiento en red para que cada uno de ellos tenga su propio conmutador virtual.