La capa de redes virtuales incluye adaptadores de red virtual, conmutadores virtuales, conmutadores virtuales distribuidos, y puertos y grupos de puertos. ESXi se basa en la capa de redes virtuales para establecer las comunicaciones entre las máquinas virtuales y sus usuarios. Asimismo, ESXi utiliza la capa de redes virtuales para comunicarse con SAN iSCSI, el almacenamiento NAS, etc.

vSphere incluye la matriz completa de características necesarias para una infraestructura segura de redes. Puede proteger cada elemento de la infraestructura por separado, como los conmutadores virtuales, los conmutadores virtuales distribuidos y los adaptadores de red virtuales. Por otra parte, considere las siguientes instrucciones, que se analizan más detalladamente en Proteger las redes de vSphere.

Aislar el tráfico de red

El aislamiento del tráfico de red es fundamental para proteger el entorno de ESXi. Las distintas redes requieren distintos niveles de aislamiento y acceso. La red de administración aísla los distintos tráficos (tráfico de clientes, de la interfaz de la línea de comandos (CLI) o de la API y del software de terceros) del tráfico normal. Asegúrese de que solo los administradores de sistemas, redes y seguridad puedan acceder a la red de administración.

Consulte Recomendaciones de seguridad para redes de ESXi.

Utilizar firewalls para proteger los elementos de la red virtual

Puede abrir y cerrar los puertos de firewall y proteger cada elemento de la red virtual por separado. Para los hosts ESXi, las reglas de firewall asocian los servicios con los firewalls correspondientes, y pueden abrir y cerrar el firewall de acuerdo con el estado del servicio. Consulte Configurar firewalls de ESXi.

También es posible abrir puertos en instancias de Platform Services Controller y vCenter Server de forma explícita. Consulte Puertos necesarios para vCenter Server y Platform Services Controller y Puertos TCP y UDP adicionales de vCenter Server.

Considerar las directivas de seguridad de redes

Las directivas de seguridad de redes ayudan a proteger el tráfico contra la suplantación de direcciones MAC y la exploración de puertos no deseada. La directiva de seguridad de un conmutador estándar o distribuido se implementa en la Capa 2 (capa de vínculo de datos) de la pila del protocolo de red. Los tres elementos de la directiva de seguridad son el modo promiscuo, los cambios de dirección MAC y las transmisiones falsificadas.

Consulte la documentación de Redes de vSphere para ver las instrucciones.

Protección de redes de máquinas virtuales

Los métodos que se utilizan para proteger las redes de máquinas virtuales dependen de varios factores, entre otros:

  • El sistema operativo invitado que está instalado.

  • Si las máquinas virtuales operan en un entorno de confianza.

Los conmutadores virtuales y los conmutadores virtuales distribuidos proporcionan una protección significativa cuando se utilizan junto con otras prácticas de seguridad comunes, como la instalación de firewalls.

Consulte Proteger las redes de vSphere.

Considerar VLAN para proteger el entorno

ESXi es compatible con VLAN de IEEE 802.1q. Las redes VLAN permiten segmentar una red física. Puede utilizar las VLAN para proteger aún más la configuración de la red o el almacenamiento de las máquinas virtuales. Cuando se utilizan redes VLAN, dos máquinas de la misma red física no pueden enviar ni recibir paquetes entre ellas a menos que se encuentren en la misma VLAN.

Consulte Proteger las máquinas virtuales con VLAN.

Proteger las conexiones con el almacenamiento virtualizado

Una máquina virtual almacena archivos del sistema operativo, archivos de programas y otros datos en un disco virtual. Cada disco virtual figura en la máquina virtual como una unidad SCSI que está conectada a una controladora SCSI. La máquina virtual está aislada de los detalles de almacenamiento y no puede acceder a la información del LUN donde reside el disco virtual.

Virtual Machine File System (VMFS) es un sistema de archivos distribuidos y un administrador de volúmenes que presenta volúmenes virtuales en el host ESXi. Usted es responsable de proteger la conexión con el almacenamiento. Por ejemplo, si utiliza el almacenamiento iSCSI, puede configurar el entorno para usar CHAP. Si la directiva de la empresa lo requiere, puede configurar CHAP mutuo. Utilice vSphere Web Client o la CLI para configurar CHAP.

Consulte Prácticas recomendadas de seguridad de almacenamiento.

Evaluar la utilización de IPsec

ESXi admite IPsec para IPv6. No se puede utilizar IPsec para IPv4.

Consulte Seguridad del protocolo de Internet.

Asimismo, evalúe si VMware NSX for vSphere es una solución adecuada para proteger la capa de redes del entorno.