Seguir las prácticas recomendadas de seguridad de redes permite garantizar la integridad de la implementación de vSphere.
Recomendaciones generales sobre seguridad de redes de vSphere
El primer paso para proteger el entorno de las redes de vSphere es seguir las recomendaciones generales sobre seguridad de red. A continuación, puede pasar a áreas especiales, como la protección de la red con firewalls o IPsec.
Recomendaciones para proteger un entorno de redes de vSphere
- El protocolo de árbol de expansión (Spanning Tree Protocol, STP) detecta cuándo se van a formar bucles en la topología de la red e impide que suceda. Los conmutadores virtuales de VMware evitan los bucles de otras maneras, pero no admiten el protocolo STP directamente. Cuando se producen cambios en la topología de la red, se necesita un tiempo (entre 30 y 50 segundos) para que la red reconozca la topología. Durante ese tiempo, no se permite que el tráfico pase. Para evitar estos problemas, los proveedores de red han creado funciones para que los puertos de conmutador sigan reenviando el tráfico. Para obtener más información, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/1003804. Consulte la documentación del proveedor de red para conocer las configuraciones de red y de hardware de red adecuadas.
- Asegúrese de que el tráfico de Netflow de un conmutador virtual distribuido se envíe solamente a direcciones IP de recopiladores autorizados. Las exportaciones de Netflow no están cifradas y pueden contener información sobre la red virtual. Con esta información aumenta la posibilidad de que los atacantes puedan ver y capturar información confidencial. Si se necesita una exportación de Netflow, compruebe que todas las direcciones IP de destino de Netflow sean correctas.
- Use los controles de acceso basado en funciones para asegurarse de que solo los administradores autorizados tengan acceso a los componentes de redes virtuales. Por ejemplo, se debe otorgar a los administradores de máquinas virtuales acceso solo a los grupos de puertos en los que residen sus máquinas virtuales. Otorgue a los administradores de red acceso a todos los componentes de redes virtuales, pero no acceso a las máquinas virtuales. Si se limita el acceso, se reduce el riesgo de una configuración incorrecta, ya sea accidental o malintencionada, y se aplican los conceptos de seguridad clave de división de tareas y privilegios mínimos.
- Asegúrese de que los grupos de puertos no estén configurados con el valor de la VLAN nativa. A menudo, los conmutadores físicos se configuran con una VLAN nativa y esa VLAN nativa suele ser VLAN 1 de forma predeterminada. ESXi no tiene una VLAN nativa. Las tramas con VLAN especificadas en el grupo de puertos tienen una etiqueta, pero las tramas con VLAN no especificadas en el grupo de puertos no están etiquetadas. Esta situación puede generar un problema porque las máquinas virtuales que se etiquetan con un 1 terminan perteneciendo a una VLAN nativa del conmutador físico.
Por ejemplo, las tramas de la VLAN 1 de un conmutador físico de Cisco no tienen etiquetas porque la VLAN 1 es la VLAN nativa de ese conmutador físico. No obstante, los marcos del host ESXi que están especificados como VLAN 1 se etiquetan con un 1. Como resultado, el tráfico del host ESXi que está destinado a la VLAN nativa no se enruta correctamente porque está etiquetado con un 1 en lugar de no tener etiqueta. El tráfico del conmutador físico que viene de la VLAN nativa no es visible porque no está etiquetado. Si el grupo de puertos del conmutador virtual de ESXi usa el identificador de la VLAN nativa, el tráfico proveniente de las máquinas virtuales de ese puerto no será visible para la VLAN nativa del conmutador, ya que este último espera tráfico sin etiquetas.
- Asegúrese de que los grupos de puertos no estén configurados con los valores de la VLAN reservados para los conmutadores físicos ascendentes. Los conmutadores físicos reservan ciertos identificadores de VLAN para fines internos y generalmente no permiten el tráfico configurado con estos valores. Por ejemplo, los conmutadores Cisco Catalyst generalmente reservan las VLAN 1001-1024 y 4094. El uso de una VLAN reservada puede provocar la denegación de servicio en la red.
- Asegúrese de que los grupos de puertos no estén configurados con la VLAN 4095, con excepción del etiquetado de invitado virtual (VGT). Al configurar un grupo de puertos con la VLAN 4095, se activa el modo de VGT. En este modo, el conmutador virtual pasa todas las tramas de red a la máquina virtual sin modificar las etiquetas de la VLAN, y deja que la máquina virtual se encargue de ellas.
- Restrinja las anulaciones de la configuración de nivel de puerto de un conmutador virtual distribuido. Las anulaciones de la configuración de nivel de puerto están desactivadas de forma predeterminada. Cuando se activan las anulaciones, se puede usar una configuración de seguridad diferente para una máquina virtual y para el nivel de grupo de puertos. Algunas máquinas virtuales requieren una configuración única, pero la supervisión es fundamental. Si las anulaciones no se supervisan, cualquiera que tenga acceso a una máquina virtual con una configuración de conmutador virtual distribuido poco segura puede intentar aprovecharse de dicho acceso.
- Asegúrese de que el tráfico reflejado del conmutador virtual distribuido se envíe solo a los puertos o las VLAN de recopiladores autorizados. vSphere Distributed Switch puede reflejar el tráfico de un puerto a otro para permitir que los dispositivos de captura de paquetes recopilen flujos de tráfico específicos. La funcionalidad de creación de reflejo de puertos envía una copia de todo el tráfico especificado en formato no cifrado. El tráfico reflejado contiene todos los datos en los paquetes capturados, por lo que tales datos pueden verse afectados por completo si se envían a una dirección incorrecta. Si se requiere la creación de reflejo del puerto, verifique que la VLAN de destino del puerto reflejado, el puerto y los identificadores de vínculo superior sean correctos.
Etiquetar componentes de redes de vSphere
La identificación de los diversos componentes de la arquitectura de redes de vSphere es esencial y permite garantizar que no se introduzcan errores a medida que se expande la red.
Siga estas prácticas recomendadas:
- Asegúrese de que los grupos de puertos se configuren con una etiqueta de red clara. Estas etiquetas actúan como un descriptor de funciones del grupo de puertos y permiten identificar la función de cada grupo de puertos a medida que se incrementa la complejidad de la red.
- Asegúrese de que cada vSphere Distributed Switch contenga una etiqueta de red clara donde se indique la función o la subred IP de ese conmutador. Esta etiqueta actúa como un descriptor de funciones para el conmutador, al igual que el nombre de host requerido para los conmutadores físicos. Por ejemplo, se puede etiquetar el conmutador como interno para indicar que es para las redes internas. No se puede cambiar la etiqueta de un conmutador virtual estándar.
Documentación y verificación del entorno VLAN de vSphere
Compruebe el entorno de VLAN regularmente para evitar futuros problemas. Documente en detalle el entorno de VLAN y asegúrese de que los identificadores de VLAN se utilicen una sola vez. La documentación puede ayudar a solucionar problemas y resulta fundamental para expandir el entorno.
Procedimiento
Adoptar prácticas de aislamiento de red en vSphere
Las prácticas de aislamiento de red refuerzan la seguridad de la red en su entorno de vSphere.
Aislar la red de administración de vSphere
La red de administración de vSphere proporciona acceso a la interfaz de administración de vSphere en cada componente. Los servicios que se ejecutan en la interfaz de administración ofrecen una oportunidad para que un atacante obtenga acceso con privilegios a los sistemas. Los ataques remotos suelen comenzar al obtener acceso a esta red. Si un atacante obtiene acceso a la red de administración, significa que ha dado un gran paso para seguir obteniendo acceso no autorizado.
Para lograr un control estricto del acceso a la red de administración, protéjalo con el nivel de seguridad de la máquina virtual más segura que se ejecuta en un host o clúster de ESXi. Más allá del nivel de restricción que tenga la red de administración, los administradores deben acceder a ella para configurar los hosts ESXi y el sistema vCenter Server.
Coloque el grupo de puertos de administración de vSphere en una VLAN dedicada de un conmutador estándar común. El tráfico (de máquinas virtuales) de producción puede compartir el conmutador estándar si las máquinas virtuales de producción no utilizan la VLAN del grupo de puertos de administración de vSphere.
Compruebe que el segmento de red no esté enrutado, excepto en las redes en las que haya otras entidades relacionadas con la administración. Enrutar un segmento de red podría tener sentido para vSphere Replication. En particular, asegúrese de que el tráfico de las máquinas virtuales de producción no se pueda enrutar a esta red.
- Para acceder a la red de administración en entornos especialmente confidenciales, configure una puerta de enlace controlada u otro método controlado. Por ejemplo, requiera que los administradores se conecten a la red de administración a través de una VPN. Conceda acceso a la red de administración solo a los administradores de confianza.
- Configure hosts bastión que ejecuten clientes de administración.
Aislar el tráfico de almacenamiento
Compruebe que el tráfico de almacenamiento basado en IP esté aislado. El almacenamiento basado en IP incluye iSCSI y NFS. Las máquinas virtuales pueden compartir conmutadores virtuales y VLAN con configuraciones de almacenamiento basadas en IP. Este tipo de configuración puede exponer el tráfico de almacenamiento basado en IP a usuarios de máquinas virtuales no autorizados.
El almacenamiento basado en IP no suele estar cifrado. Cualquier persona que tenga acceso a esta red puede ver el tráfico de almacenamiento basado en IP. Para impedir que usuarios no autorizados vean el tráfico de almacenamiento basado en IP, separe lógicamente el tráfico de red de almacenamiento basado en IP del tráfico de producción. Configure los adaptadores de almacenamiento basado en IP en VLAN distintas o segmentos de red de la red de administración VMkernel para restringir la visualización del tráfico a usuarios no autorizados.
Aislar el tráfico de vMotion
La información de migración de vMotion se transmite en texto sin formato. Cualquiera que tenga acceso a la red puede ver la información que pasa por ella. Los posibles atacantes pueden interceptar el tráfico de vMotion para obtener el contenido de memoria de una máquina virtual. También pueden preparar un ataque de MITM en el que el contenido se modifica durante la migración.
Separe el tráfico de vMotion del tráfico de producción en una red aislada. Configure la red para que no se pueda enrutar, es decir, asegúrese de que no haya un enrutador de Capa 3 expandiendo esta u otras redes, a fin de restringir el acceso exterior a esta red.
Use una VLAN dedicada en un conmutador estándar común para el grupo de puertos de vMotion. El tráfico (de máquinas virtuales) de producción puede usar el mismo conmutador estándar si las máquinas virtuales de producción no utilizan la VLAN del grupo de puertos de vMotion.
Aislar el tráfico de vSAN
Al configurar la red de vSAN, aísle el tráfico de vSAN en su propio segmento de red de capa 2. Puede realizar este aislamiento mediante conmutadores o puertos dedicados o a través de una VLAN.
Usar conmutadores virtuales con vSphere Network Appliance API solo cuando es necesario
No configure el host para que envíe información de red a una máquina virtual a menos que esté utilizando productos que usan vSphere Network Appliance API (DvFilter). Si vSphere Network Appliance API está habilitado, un atacante puede intentar conectar una máquina virtual al filtro. Esta conexión puede abrir el acceso a la red de otras máquinas virtuales del host.
Si utiliza un producto que usa esta API, compruebe que el host esté configurado correctamente. Consulte las secciones sobre DvFilter en la documentación de Desarrollo e implementación de soluciones de vSphere, vServices y agentes de ESX. Si el host está configurado para usar la API, compruebe que el valor del parámetro Net.DVFilterBindIpAddress coincida con el producto que usa la API.