Al planificar la configuración de iSCSI, tome las medidas necesarias para mejorar la seguridad general de la SAN iSCSI. La configuración de iSCSI es tan segura como la red IP, por lo tanto, si aplica estándares de seguridad adecuados al configurar la red, ayuda a proteger el almacenamiento iSCSI.
A continuación, se presentan sugerencias específicas para aplicar estándares de seguridad adecuados.
Proteger datos transmitidos
Uno de los principales riesgos en las SAN iSCSI es que un atacante puede capturar los datos de almacenamiento transmitidos.
Tome medidas adicionales para evitar que los atacantes vean datos de iSCSI con facilidad. Ni el adaptador de iSCSI de hardware ni el iniciador iSCSI de ESXi cifran los datos que transmiten hacia y desde los destinos, lo que hace que los datos sean más vulnerables a ataques de analizadores de protocolos (sniffer).
Si permite que las máquinas virtuales compartan conmutadores estándar y VLAN con la configuración de iSCSI, se corre el riesgo de que algún atacante de máquinas virtuales haga un uso incorrecto del tráfico iSCSI. Para ayudar a garantizar que los intrusos no puedan escuchar transmisiones de iSCSI, asegúrese de que ninguna de las máquinas virtuales pueda ver la red de almacenamiento iSCSI.
Si usa un adaptador de iSCSI de hardware, puede lograr esto comprobando que el adaptador de iSCSI y el adaptador físico de red de ESXi no se conecten accidentalmente fuera del host debido al uso compartido de un conmutador o a algún otro motivo. Si configura iSCSI directamente mediante el host ESXi, podrá lograr esto configurando el almacenamiento iSCSI con un conmutador estándar diferente al que se usa en las máquinas virtuales.
Además de proteger la SAN iSCSI con un conmutador estándar dedicado, puede configurar la SAN iSCSI en su propia VLAN para mejorar el rendimiento y la seguridad. Al colocar la configuración de iSCSI en una VLAN distinta, se garantiza que ningún dispositivo que no sea el adaptador de iSCSI pueda ver transmisiones dentro de la SAN iSCSI. Además, la congestión de la red desde otros orígenes no puede interferir en el tráfico iSCSI.
Proteger los puertos de iSCSI
Al utilizar dispositivos de iSCSI, ESXi no abre ningún puerto que escuche conexiones de red. Esta medida reduce la posibilidad de que un intruso logre entrar a ESXi por los puertos de reserva y tome el control del host. De esta manera, la ejecución de iSCSI no presenta ningún riesgo adicional de seguridad al final de la conexión de ESXi.
Todos los dispositivos de destino iSCSI que se utilicen deben tener uno o más puertos TCP abiertos para escuchar las conexiones de iSCSI. Si existe alguna vulnerabilidad de seguridad en el software del dispositivo iSCSI, los datos pueden estar en riesgo incluso si ESXi funciona correctamente. Para reducir este riesgo, instale todas las revisiones de seguridad que le proporcione el fabricante del equipo de almacenamiento y limite los dispositivos conectados a la red de iSCSI.
