La seguridad de red para el entorno de vSphere contiene muchas características similares a la protección de un entorno de red física, pero también incluye algunas otras que se aplican solamente a las máquinas virtuales.
Firewalls
Agregue protección de firewall a la red virtual mediante la instalación y la configuración de firewalls basados en host en algunas o todas las máquinas virtuales.
Para mejorar la eficiencia, puede configurar redes virtuales o redes Ethernet de máquinas virtuales privadas. En las redes virtuales, se instala un firewall basado en host en una máquina virtual en el encabezado de la red virtual. Este firewall funciona como búfer de protección entre el adaptador de red físico y las máquinas virtuales restantes de la red virtual.
Los firewalls basados en host pueden reducir el rendimiento. Equilibre las necesidades de seguridad con respecto a los objetivos de rendimiento antes de instalar firewalls basados en hosts en las máquinas virtuales en otro lugar de la red virtual.
Consulte Proteger la red con firewalls.
Segmentar
Mantenga las zonas de máquinas virtuales diferentes dentro de un host en distintos segmentos de red. Al aislar cada zona de máquinas virtuales en su propio segmento de red, es posible minimizar el riesgo de pérdidas de datos entre una zona y la siguiente. Con la segmentación se evitan diversas amenazas, incluida la suplantación del protocolo Address Resolution Protocol (ARP). Con la suplantación de ARP, un atacante manipula la tabla de ARP para reasignar las direcciones MAC e IP, y así obtener acceso al tráfico de red que va al host y procede de él. Los atacantes usan la suplantación de protocolo ARP para generar ataques de tipo "Man in the middle" (MITM), realizar ataques por denegación de servicio (DoS), secuestrar el sistema de destino y desestabilizar la red virtual de otras maneras.
Si la segmentación se planifica minuciosamente, se reducen las posibilidades de que se realicen transmisiones de paquetes entre las zonas de máquinas virtuales. Con la segmentación, por tanto, se evitan los ataques por analizadores de protocolos (sniffer), que se basan en el envío de tráfico de red a la víctima. Asimismo, un atacante no puede usar un servicio que no sea seguro en una zona de máquinas virtuales para acceder a otras zonas del host. El usuario puede elegir entre dos enfoques para implementar la segmentación.
- Use adaptadores de red físicos separados para las zonas de máquinas virtuales a fin de garantizar que las zonas queden aisladas. Probablemente, este método sea el más seguro después de la creación inicial del segmento. Este enfoque es también menos proclive a producir errores de configuración.
- Configure redes de área local virtuales (VLAN) para ayudar a proteger la red. Las VLAN proporcionan casi todas las ventajas de seguridad inherentes en la implementación de redes separadas físicamente sin generar una sobrecarga de hardware. Pueden ahorrarle el coste de tener que implementar y mantener otros dispositivos, el cableado, etc. Consulte Proteger las máquinas virtuales con VLAN.
Evitar el acceso no autorizado
- Si una red de máquinas virtuales está conectada a una red física, puede quedar expuesta a infracciones, al igual que una red compuesta de máquinas físicas.
- Incluso si no conecta una máquina virtual a la red física, la máquina virtual puede recibir ataques de otras máquinas virtuales.
Las máquinas virtuales están aisladas entre sí. Una máquina virtual no puede leer ni escribir en la memoria de otra máquina virtual, acceder a sus datos, usar sus aplicaciones, etc. Sin embargo, dentro de la red, cualquier máquina virtual o un grupo de máquinas virtuales puede seguir siendo el destino del acceso no autorizado de otras máquinas virtuales. Proteja las máquinas virtuales de este tipo de acceso no autorizado.
Para obtener más información sobre cómo proteger las máquinas virtuales, consulte el documento de NIST llamado "Configuración de red virtual segura para la protección de máquinas virtuales (Virtual Machine, VM)" en:
