El diseño del sistema ESXi permite conectar algunos grupos de máquinas virtuales a la red interna, otros a la red externa y otros a ambos, todos en el mismo host. Esta capacidad es una extensión del aislamiento básico de máquinas virtuales combinado con la utilización bien planificada de características de redes virtuales.
En la figura, el administrador de sistema configuró un host en tres zonas de máquinas virtuales diferentes: servidor FTP, máquinas virtuales internas y DMZ. Cada zona tiene una función única.
Zona de servidor FTP
La máquina virtual 1 está configurada con el software FTP y actúa como área de retención de los datos enviados hacia los recursos externos y desde estos, como formularios y documentación localizados por un proveedor.
Esta máquina virtual solo está asociada con una red externa. Tiene su propio conmutador virtual y su propio adaptador de red físico que la conectan a la red externa 1. Esta red está dedicada a los servidores que usa la empresa para recibir datos de orígenes externos. Por ejemplo, la empresa utiliza la red externa 1 para recibir tráfico FTP de los proveedores, y permite a estos últimos acceder a los datos almacenados en servidores disponibles de forma externa a través de FTP. Además de atender a la máquina virtual 1, la red externa 1 se encarga de los servidores FTP configurados en diferentes hosts ESXi en todo el sitio.
Debido a que la máquina virtual 1 no comparte un conmutador virtual o un adaptador de red físico con ninguna máquina virtual del host, las otras máquinas virtuales residentes no pueden transmitir paquetes a la red de la máquina virtual 1 ni recibir paquetes de ella. Esta restricción evita los ataques por analizadores de protocolos (sniffer), que se basan en el envío de tráfico de red a la víctima. Otro factor más importante es que un atacante no puede utilizar la vulnerabilidad natural de FTP para acceder a ninguna de las otras máquinas virtuales del host.
Zona de red interna
Las máquinas virtuales 2 a 5 están reservadas para la utilización interna. Estas máquinas virtuales procesan y almacenan datos privados de la empresa, como registros médicos, declaraciones legales e investigaciones de fraude. Por lo tanto, los administradores del sistema deben garantizar el nivel más alto de protección de estas máquinas virtuales.
Estas máquinas virtuales se conectan a la red interna 2 mediante un conmutador virtual y un adaptador de red propios. La red interna 2 está reservada para la utilización interna por parte del personal, por ejemplo, procesadores de reclamos, abogados internos o tasadores.
Las máquinas virtuales 2 a 5 pueden comunicarse entre sí mediante el conmutador virtual, y con máquinas internas de otros lugares de la red interna 2 mediante el adaptador de red físico. Sin embargo, no pueden comunicarse con máquinas externas. Al igual que con el servidor FTP, estas máquinas virtuales no pueden enviar paquetes a las redes de las otras máquinas virtuales ni recibir paquetes de ellas. De forma similar, las otras máquinas virtuales del host no pueden enviar paquetes a las máquinas virtuales 2 a 5 ni recibir paquetes de ellas.
Zona DMZ
Las máquinas virtuales 6 a 8 se configuran como una DMZ que utiliza el grupo de comercialización para publicar el sitio web externo de la empresa.
Este grupo de máquinas virtuales se asocia con la red externa 2 y la red interna 1. La empresa utiliza la red externa 2 para admitir los servidores web que utilizan los departamentos de comercialización y finanzas para alojar el sitio web de la empresa y otras características web para usuarios externos. La red interna 1 es el medio que utiliza el departamento de comercialización para publicar contenido en el sitio web de la empresa, publicar descargas y mantener servicios como los foros de usuarios.
Debido a que estas redes están separadas de la red externa 1 y la red interna 2, y las máquinas virtuales no tienen puntos de contacto compartidos (conmutadores o adaptadores), no existe riesgo de ataque hacia o desde el servidor FTP o el grupo de máquinas virtuales internas.
Ventajas de usar zonas de máquinas virtuales
Al lograr el aislamiento de máquinas virtuales, configurar correctamente los conmutadores virtuales y mantener la separación de las redes, puede alojar las tres zonas de máquinas virtuales en el mismo host ESXi y estar seguro de que no se producirán vulneraciones de datos o recursos.
La empresa aplica el aislamiento en los grupos de máquinas virtuales mediante la utilización de varias redes internas y externas, y se asegura de que los conmutadores virtuales y los adaptadores de red físicos de cada grupo se encuentren separados de esos grupos o de otros.
Gracias a que ninguno de estos conmutadores virtuales favorece zonas de máquinas virtuales sobre las demás, se logra eliminar el riesgo de pérdida de paquetes de una zona a la otra. Debido a su diseño, un conmutador virtual no puede perder paquetes directamente en otro conmutador virtual. La única forma de que los paquetes pasen de un conmutador virtual a otro es en estas circunstancias:
- Los conmutadores virtuales están conectados a la misma LAN física.
- Los conmutadores virtuales se conectan a una máquina virtual común, que se puede utilizar para transmitir paquetes.
Ninguna de estas condiciones se cumple en la configuración de ejemplo. Si desea comprobar que no existen rutas de acceso a conmutadores virtuales comunes, revise la distribución de conmutadores de red de vSphere Client para buscar posibles puntos de contacto compartidos.
Para proteger los recursos de las máquinas virtuales, configure una reserva de recursos y un límite para cada máquina virtual. De esta forma se reducirá el riesgo de ataques DoS y DDoS. Puede proteger aún más el host ESXi y las máquinas virtuales si instala firewalls de software en los extremos delanteros y traseros de la DMZ. Por último, asegúrese de que el host esté detrás de un firewall físico y configure los recursos de almacenamiento en red para que cada uno tenga su propio conmutador virtual.
