La capa de redes virtuales incluye adaptadores de red virtual, conmutadores virtuales, conmutadores virtuales distribuidos, y puertos y grupos de puertos. ESXi se basa en la capa de redes virtuales para establecer las comunicaciones entre las máquinas virtuales y sus usuarios. Asimismo, ESXi utiliza la capa de redes virtuales para comunicarse con SAN iSCSI, el almacenamiento NAS, etc.
vSphere incluye la matriz completa de características necesarias para una infraestructura segura de redes. Puede proteger cada elemento de la infraestructura por separado, como los conmutadores virtuales, los conmutadores virtuales distribuidos y los adaptadores de red virtuales. Por otra parte, considere las siguientes instrucciones, que se analizan más detalladamente en Proteger las redes de vSphere.
- Aislar el tráfico de red
- El aislamiento del tráfico de red es fundamental para proteger el entorno de ESXi. Las distintas redes requieren distintos niveles de aislamiento y acceso. La red de administración aísla los distintos tráficos (tráfico de clientes, de la interfaz de la línea de comandos [Command-Line Interface, CLI] o de la API y del software de terceros) del tráfico normal. Asegúrese de que solo los administradores de sistemas, redes y seguridad puedan acceder a la red de administración.
- Utilizar firewalls para proteger los elementos de la red virtual
- Puede abrir y cerrar los puertos de firewall y proteger cada elemento de la red virtual por separado. Para los hosts ESXi, las reglas de firewall asocian los servicios con los firewalls correspondientes, y pueden abrir y cerrar el firewall de acuerdo con el estado del servicio.
- Considerar las directivas de seguridad de redes
- Las directivas de seguridad de redes ayudan a proteger el tráfico contra la suplantación de direcciones MAC y la exploración de puertos no deseada. La directiva de seguridad de un conmutador estándar o distribuido se implementa en la Capa 2 (capa de vínculo de datos) de la pila del protocolo de red. Los tres elementos de la directiva de seguridad son el modo promiscuo, los cambios de dirección MAC y las transmisiones falsificadas.
- Protección de redes de máquinas virtuales
-
Los métodos que se utilizan para proteger las redes de máquinas virtuales dependen de varios factores, entre otros:
- El sistema operativo invitado que está instalado.
- Si las máquinas virtuales operan en un entorno de confianza.
- Considerar VLAN para proteger el entorno
- ESXi es compatible con VLAN de IEEE 802.1q. Las redes VLAN permiten segmentar una red física. Puede utilizar las VLAN para proteger aún más la configuración de la red o el almacenamiento de las máquinas virtuales. Cuando se utilizan redes VLAN, dos máquinas virtuales de la misma red física no pueden enviar ni recibir paquetes entre ellas a menos que se encuentren en la misma VLAN.
- Proteger las conexiones con el almacenamiento virtualizado
- Una máquina virtual almacena archivos del sistema operativo, archivos de programas y otros datos en un disco virtual. Cada disco virtual figura en la máquina virtual como una unidad SCSI que está conectada a una controladora SCSI. La máquina virtual está aislada de los detalles de almacenamiento y no puede acceder a la información del LUN donde reside el disco virtual.
- Evaluar la utilización de IPsec
- ESXi admite IPsec para IPv6. No se puede utilizar IPsec para IPv4.