La couche de mise en réseau virtuelle comprend des adaptateurs réseau virtuels, des commutateurs virtuels, des commutateurs virtuels distribués, des ports et des groupes de ports. ESXi utilise la couche réseau virtuelle pour les communications entre les machines virtuelles et leurs utilisateurs. En outre, ESXi utilise cette couche pour communiquer avec les SAN iSCSI, le stockage NAS, etc.

vSphere offre toutes les fonctionnalités pour garantir une infrastructure de mise en réseau sécurisée. Vous pouvez sécuriser séparément chacun des éléments de l'infrastructure (commutateurs virtuels, commutateurs virtuels distribués ou adaptateurs réseau virtuels, par exemple). En outre, tenez compte des directives suivantes, détaillées dans la section Sécurisation de la mise en réseau vSphere.

Isoler le trafic réseau

Pour assurer un environnement ESXi sécurisé, il est essentiel d'isoler le trafic réseau. Des réseaux différents requièrent un accès et un niveau d'isolation distincts. Un réseau de gestion isole le trafic client, le trafic de l'interface de ligne de commande ou de l'API ou le trafic des logiciels tiers du trafic normal. Ce réseau doit être accessible uniquement aux administrateurs système, réseau et sécurité.

Reportez-vous à Recommandations de sécurité pour la mise en réseau d'ESXi.

Utiliser des pare-feu pour sécuriser les éléments du réseau virtuel

Vous pouvez ouvrir et fermer les ports de pare-feu et sécuriser les différents éléments du réseau virtuel séparément. Les règles de pare-feu associent les services avec les pare-feu correspondants et peuvent ouvrir et fermer le pare-feu ESXi en fonction de l'état du service.

Reportez-vous à ESXi.

Étudier les stratégies de sécurité réseau

Une stratégie de sécurité de la mise en réseau assure la protection du trafic contre l'emprunt d'identité d'adresse MAC et l'analyse des ports indésirables. La règle de sécurité d'un commutateur standard ou distribué est mise en œuvre au niveau de la couche 2 (couche de liaison de données) de la pile de protocole réseau. Les trois éléments de la stratégie de sécurité sont le mode promiscuité, les changements d'adresse MAC et les Transmissions forgées.

Les instructions sont disponibles dans la documentation Mise en réseau vSphere.

Sécuriser la mise en réseau des machines virtuelles

Les méthodes utilisées pour sécuriser un réseau de machines virtuelles dépendent du système d'exploitation invité installé, de la présence ou non d'un environnement sécurisé, ainsi que d'un certain nombre d'autres facteurs. Les commutateurs virtuels et les commutateurs virtuels distribués offrent un niveau de protection élevé lorsqu'ils sont utilisés avec d'autres mesures de sécurité (installation de pare-feu, notamment).

Reportez-vous à Sécurisation de la mise en réseau vSphere.

Envisager les VLAN pour protéger votre environnement

ESXi prend en charge les VLAN IEEE 802.1q. Vous pouvez donc les utiliser pour renforcer la protection du réseau de machines virtuelles ou la configuration de stockage. Les VLAN permettent de segmenter un réseau physique : ainsi, deux machines du même réseau physique peuvent s'envoyer mutuellement des paquets ou en recevoir (sauf s'ils se trouvent sur le même réseau VLAN).

Reportez-vous à Sécurisation des machines virtuelles avec des VLAN.

Sécuriser les connexions du stockage virtualisé

Une machine virtuelle stocke les fichiers du système d'exploitation, les fichiers de programme et d'autres données sur un disque virtuel. Chaque disque virtuel apparaît sur la machine virtuelle en tant que lecteur SCSI connecté au contrôleur SCSI. Une machine virtuelle n'a pas accès aux détails du stockage ni aux informations relatives au LUN sur lequel réside son disque virtuel.

VMFS (Virtual Machine File System) combine un système de fichiers distribué et un gestionnaire de volumes qui présente les volumes virtuels à l'hôte ESXi. La sécurisation de la connexion avec le stockage relève de votre responsabilité. Par exemple, si vous utilisez un stockage iSCSI, vous pouvez configurer votre environnement pour qu'il utilise l'authentification CHAP et, si la stratégie de l'entreprise l'exige, l'authentification CHAP mutuelle, en exploitant vSphere Web Client ou des CLI.

Reportez-vous à Meilleures pratiques en matière de sécurité du stockage.

Évaluer l'utilisation d'IPSec

ESXi prend en charge IPSec sur IPv6. Vous ne pouvez pas utiliser IPSec sur IPv4.

Reportez-vous à Sécurité du protocole Internet.

De plus, déterminez si VMware NSX pour vSphere est une solution adéquate pour sécuriser la couche de mise en réseau dans votre environnement.