Aislar la red de administración

La red de administración de vSphere proporciona acceso a la interfaz de administración de vSphere en cada componente. Los servicios que se ejecutan en la interfaz de administración ofrecen una oportunidad para que un atacante obtenga acceso con privilegios a los sistemas. Los ataques remotos suelen comenzar al obtener acceso a esta red. Si un atacante obtiene acceso a la red de administración, significa que ha dado un gran paso para seguir obteniendo acceso no autorizado.

Para lograr un control estricto del acceso a la red de administración, protéjalo con el nivel de seguridad de la máquina virtual más segura que se ejecuta en un host o clúster de ESXi. Más allá del nivel de restricción que tenga la red de administración, los administradores deben acceder a ella para configurar los hosts ESXi y el sistema vCenter Server.

Coloque el grupo de puertos de administración de vSphere en una VLAN dedicada de un conmutador estándar común. El tráfico (de máquinas virtuales) de producción puede compartir el conmutador estándar si las máquinas virtuales de producción no utilizan la VLAN del grupo de puertos de administración de vSphere.

Compruebe que el segmento de red no esté enrutado, excepto en las redes en las que haya otras entidades relacionadas con la administración. Enrutar un segmento de red podría tener sentido para vSphere Replication. En particular, asegúrese de que el tráfico de las máquinas virtuales de producción no se pueda enrutar a esta red.

Aislar el tráfico de almacenamiento

Compruebe que el tráfico de almacenamiento basado en IP esté aislado. El almacenamiento basado en IP incluye iSCSI y NFS. Las máquinas virtuales pueden compartir conmutadores virtuales y VLAN con configuraciones de almacenamiento basadas en IP. Este tipo de configuración puede exponer el tráfico de almacenamiento basado en IP a usuarios de máquinas virtuales no autorizados.

El almacenamiento basado en IP no suele estar cifrado. Cualquier persona que tenga acceso a esta red puede ver el tráfico de almacenamiento basado en IP. Para impedir que usuarios no autorizados vean el tráfico de almacenamiento basado en IP, separe lógicamente el tráfico de red de almacenamiento basado en IP del tráfico de producción. Configure los adaptadores de almacenamiento basado en IP en VLAN distintas o segmentos de red de la red de administración VMkernel para restringir la visualización del tráfico a usuarios no autorizados.

Aislar el tráfico de vMotion

La información de migración de vMotion se transmite en texto sin formato. Cualquiera que tenga acceso a la red puede ver la información que pasa por ella. Los posibles atacantes pueden interceptar el tráfico de vMotion para obtener el contenido de memoria de una máquina virtual. También pueden preparar un ataque de MiTM en el que el contenido se modifica durante la migración.

Separe el tráfico de vMotion del tráfico de producción en una red aislada. Configure la red para que no se pueda enrutar, es decir, asegúrese de que no haya un enrutador de Capa 3 expandiendo esta u otras redes, a fin de restringir el acceso exterior a esta red.

Use una VLAN dedicada en un conmutador estándar común para el grupo de puertos de vMotion. El tráfico (de máquinas virtuales) de producción puede usar el mismo conmutador estándar si las máquinas virtuales de producción no utilizan la VLAN del grupo de puertos de vMotion.

Aislar el tráfico de vSAN

Al configurar la red de vSAN, aísle el tráfico de vSAN en su propio segmento de red de capa 2. Puede realizar este aislamiento mediante conmutadores o puertos dedicados o a través de una VLAN.