Las prácticas de aislamiento de red refuerzan la seguridad de la red en su entorno de vSphere.
Aislar la red de administración
La red de administración de vSphere proporciona acceso a la interfaz de administración de vSphere en cada componente. Los servicios que se ejecutan en la interfaz de administración ofrecen una oportunidad para que un atacante obtenga acceso con privilegios a los sistemas. Los ataques remotos suelen comenzar al obtener acceso a esta red. Si un atacante obtiene acceso a la red de administración, significa que ha dado un gran paso para seguir obteniendo acceso no autorizado.
Para lograr un control estricto del acceso a la red de administración, protéjalo con el nivel de seguridad de la máquina virtual más segura que se ejecuta en un host o clúster de ESXi. Más allá del nivel de restricción que tenga la red de administración, los administradores deben acceder a ella para configurar los hosts ESXi y el sistema vCenter Server.
Coloque el grupo de puertos de administración de vSphere en una VLAN dedicada de un conmutador estándar común. El tráfico (de máquinas virtuales) de producción puede compartir el conmutador estándar si las máquinas virtuales de producción no utilizan la VLAN del grupo de puertos de administración de vSphere.
Compruebe que el segmento de red no esté enrutado, excepto en las redes en las que haya otras entidades relacionadas con la administración. Enrutar un segmento de red podría tener sentido para vSphere Replication. En particular, asegúrese de que el tráfico de las máquinas virtuales de producción no se pueda enrutar a esta red.
- Para acceder a la red de administración en entornos especialmente confidenciales, configure una puerta de enlace controlada u otro método controlado. Por ejemplo, requiera que los administradores se conecten a la red de administración a través de una VPN. Conceda acceso a la red de administración solo a los administradores de confianza.
- Configure hosts bastión que ejecuten clientes de administración.
Aislar el tráfico de almacenamiento
Compruebe que el tráfico de almacenamiento basado en IP esté aislado. El almacenamiento basado en IP incluye iSCSI y NFS. Las máquinas virtuales pueden compartir conmutadores virtuales y VLAN con configuraciones de almacenamiento basadas en IP. Este tipo de configuración puede exponer el tráfico de almacenamiento basado en IP a usuarios de máquinas virtuales no autorizados.
El almacenamiento basado en IP no suele estar cifrado. Cualquier persona que tenga acceso a esta red puede ver el tráfico de almacenamiento basado en IP. Para impedir que usuarios no autorizados vean el tráfico de almacenamiento basado en IP, separe lógicamente el tráfico de red de almacenamiento basado en IP del tráfico de producción. Configure los adaptadores de almacenamiento basado en IP en VLAN distintas o segmentos de red de la red de administración VMkernel para restringir la visualización del tráfico a usuarios no autorizados.
Aislar el tráfico de vMotion
La información de migración de vMotion se transmite en texto sin formato. Cualquiera que tenga acceso a la red puede ver la información que pasa por ella. Los posibles atacantes pueden interceptar el tráfico de vMotion para obtener el contenido de memoria de una máquina virtual. También pueden preparar un ataque de MiTM en el que el contenido se modifica durante la migración.
Separe el tráfico de vMotion del tráfico de producción en una red aislada. Configure la red para que no se pueda enrutar, es decir, asegúrese de que no haya un enrutador de Capa 3 expandiendo esta u otras redes, a fin de restringir el acceso exterior a esta red.
Use una VLAN dedicada en un conmutador estándar común para el grupo de puertos de vMotion. El tráfico (de máquinas virtuales) de producción puede usar el mismo conmutador estándar si las máquinas virtuales de producción no utilizan la VLAN del grupo de puertos de vMotion.
Aislar el tráfico de vSAN
Al configurar la red de vSAN, aísle el tráfico de vSAN en su propio segmento de red de capa 2. Puede realizar este aislamiento mediante conmutadores o puertos dedicados o a través de una VLAN.