Aislamiento del tráfico de red

El aislamiento del tráfico de red es fundamental para proteger el entorno de ESXi. Las distintas redes requieren distintos niveles de aislamiento y acceso. La red de administración aísla los distintos tráficos (tráfico de clientes, de la interfaz de la línea de comandos [Command-Line Interface, CLI] o de la API y del software de terceros) del tráfico normal. Asegúrese de que solo los administradores de sistemas, redes y seguridad puedan acceder a la red de administración.

Consulte Recomendaciones de seguridad para redes de ESXi.

Utilización de firewalls para proteger los elementos de la red virtual

Puede abrir y cerrar los puertos de firewall y proteger cada elemento de la red virtual por separado. Para los hosts ESXi, las reglas de firewall asocian los servicios con los firewalls correspondientes, y pueden abrir y cerrar el firewall de acuerdo con el estado del servicio.

También es posible abrir puertos en instancias de vCenter Server de forma explícita.

Para obtener la lista de todos los puertos y protocolos compatibles en los productos de VMware, incluidos vSphere y vSAN, consulte la herramienta VMware Ports and Protocols™ en https://ports.vmware.com/. Puede buscar puertos por producto de VMware, crear una lista de puertos personalizada e imprimir o guardar listas de puertos.

Consideración de las directivas de seguridad de red

Las directivas de seguridad de redes ayudan a proteger el tráfico contra la suplantación de direcciones MAC y la exploración de puertos no deseada. La directiva de seguridad de un conmutador estándar o distribuido se implementa en la Capa 2 (capa de vínculo de datos) de la pila del protocolo de red. Los tres elementos de la directiva de seguridad son el modo promiscuo, los cambios de dirección MAC y las transmisiones falsificadas.

Consulte la documentación de Redes de vSphere para ver las instrucciones.

Protección de las redes de las máquinas virtuales

Consulte Proteger las redes de vSphere.

Consideración de VLAN para proteger el entorno

ESXi es compatible con VLAN de IEEE 802.1q. Las redes VLAN permiten segmentar una red física. Puede utilizar las VLAN para proteger aún más la configuración de la red o el almacenamiento de las máquinas virtuales. Cuando se utilizan redes VLAN, dos máquinas de la misma red física no pueden enviar ni recibir paquetes entre ellas a menos que se encuentren en la misma VLAN.

Consulte Proteger las máquinas virtuales con VLAN.

Protección de las conexiones con el almacenamiento virtualizado

Una máquina virtual almacena archivos del sistema operativo, archivos de aplicación y otros datos en un disco virtual. Cada disco virtual figura en la máquina virtual como una unidad SCSI que está conectada a una controladora SCSI. La máquina virtual está aislada de los detalles de almacenamiento y no puede acceder a la información del LUN donde reside el disco virtual.

Virtual Machine File System (VMFS) es un sistema de archivos distribuidos y un administrador de volúmenes que presenta volúmenes virtuales en el host ESXi. Usted es responsable de proteger la conexión con el almacenamiento. Por ejemplo, si utiliza el almacenamiento iSCSI, puede configurar el entorno para usar el protocolo de autenticación por desafío mutuo (Challenge Handshake Authentication Protocol, CHAP). Si la directiva de la empresa lo requiere, puede configurar CHAP mutuo. Utilice vSphere Client o la CLI para configurar CHAP.

Consulte Prácticas recomendadas de seguridad de almacenamiento.

Evaluar el uso de la seguridad del protocolo de Internet

ESXi admite el protocolo de seguridad de Internet (IPSec) en IPv6. No se puede utilizar IPsec para IPv4.

Consulte Usar el protocolo Internet Protocol Security en hosts ESXi.