L'adoption de solides pratiques d'isolation réseau améliore de façon significative la sécurité réseau de l'environnement vSphere.

Isoler le réseau de gestion

Le réseau de gestion vSphere donne accès à l'interface de gestion vSphere sur chaque composant. Les services s'exécutant sur l'interface de gestion offrent la possibilité pour un pirate d'obtenir un accès privilégié aux systèmes. Les attaques à distance sont susceptibles de commencer par l'obtention d'un accès à ce réseau. Si un pirate obtient accès au réseau de gestion, cela lui fournit une base pour mener d'autres intrusions.

Contrôlez strictement l'accès au réseau de gestion en le protégeant au niveau de sécurité de la machine virtuelle la plus sécurisée s'exécutant sur un hôte ou un cluster ESXi. Quelle que soit la restriction du réseau de gestion, les administrateurs doivent avoir accès à ce réseau pour configurer les hôtes ESXi et le système vCenter Server.

Placez le groupe de ports de gestion vSphere dans un VLAN dédié sur un commutateur commun. vSwitch peut être partagé avec le trafic de production (machine virtuelle), à condition que le VLAN du groupe de ports de gestion de vSphere ne soit pas utilisé par les machines virtuelles de production. Vérifiez que le segment réseau n'est pas routé, à l'exception éventuellement des réseaux hébergeant d'autres entités de gestion, par exemple en liaison avec vSphere Replication. Assurez-vous notamment que le trafic des machines virtuelles de production ne peut pas être routé vers ce réseau.

Autorisez l'accès à la fonctionnalité de gestion d'une manière strictement contrôlée en utilisant l'une des approches suivantes.

  • Pour les environnements particulièrement sensibles, configurez une passerelle contrôlée ou une autre méthode contrôlée pour accéder au réseau de gestion. Par exemple, obligez les administrateurs à se connecter au réseau de gestion via un réseau VPN, et autorisez l'accès uniquement aux administrateurs approuvés.

  • Configurez des systèmes JumpBox qui exécutent des clients de gestion.

Isoler le trafic de stockage

Assurez-vous que le trafic de stockage IP est isolé. Le stockage IP inclut iSCSI et NFS. Les machines virtuelles peuvent partager des commutateurs virtuels et des VLAN avec des configurations de stockage IP. Ce type de configuration peut exposer du trafic de stockage IP à des utilisateurs de machine virtuelle non autorisés.

Le stockage IP est fréquemment non chiffré ; toute personne ayant accès à ce réseau peut le voir. Pour empêcher les utilisateurs non autorisés à voir le trafic de stockage IP, séparez logiquement le trafic du réseau de stockage IP du trafic de production. Configurez les adaptateurs de stockage IP sur des VLAN ou des segments de réseau séparés du réseau de gestion VMkernel pour empêcher les utilisateurs non autorisés d'afficher le trafic.

Isoler le trafic VMotion

Les informations de migration VMotion sont transmises en texte brut. Toute personne ayant accès au réseau sur lequel ces informations circulent peut les voir. Les pirates potentiels peuvent intercepter du trafic vMotion pour obtenir le contenu de la mémoire d'une machine virtuelle. Ils peuvent également préparer une attaque MiTM dans laquelle le contenu est modifié pendant la migration.

Séparez le trafic VMotion du trafic de production sur un réseau isolé. Configurez le réseau de manière qu'il soit non routable, c'est-à-dire assurez-vous qu'aucun routeur de niveau 3 n'étend ce réseau et d'autres réseaux, pour empêcher un accès au réseau de l'extérieur.

Le groupe de ports VMotion doit se trouver dans un réseau VLAN dédié sur un vSwitch commun. vSwitch peut être partagé avec le trafic de production (machine virtuelle), à condition que le VLAN du groupe de ports VMotion ne soit pas utilisé par des machines virtuelles de production.