Les administrateurs disposent de plusieurs options pour sécuriser un vSphere Distributed Switch dans leur environnement vSphere.

Procédure

  1. Pour les groupes de ports distribués avec une liaison statique, vérifiez que la fonction Extension automatique est désactivée.

    Extension automatique est activée par défaut dans vSphere 5.1 et versions ultérieures.

    Pour désactiver Extension automatique, configurez la propriété autoExpand sous le groupe de ports distribués avec vSphere Web Services SDK ou avec une interface de ligne de commande. Reportez-vous à la documentation vSphere Web Services SDK.

  2. Assurez-vous que tous les ID VLAN privés de tout vSphere Distributed Switch sont entièrement documentés.
  3. Si vous utilisez le balisage VLAN sur un dvPortgroup, les ID de VLAN doivent correspondre aux ID des commutateurs VLAN externes en amont. Si les ID de VLAN ne sont pas entièrement suivis, une réutilisation erronée d'ID peut permettre l'établissement de trafic entre des machines physiques et virtuelles non appropriées. De la même manière, si des ID de VLAN sont incorrects ou manquants, le trafic risque de ne pas être transmis entre les machines physiques et virtuelles.
  4. Vérifiez l'absence de ports inutilisés sur un groupe de ports virtuels associé à un vSphere Distributed Switch.
  5. Attribuez un libellé à chaque vSphere Distributed Switch.

    Les vSphere Distributed Switches associés à un hôte ESXi nécessitent un champ pour le nom du commutateur. Ce libellé sert de descripteur fonctionnel du commutateur, de même qu'un nom d'hôte associé à un commutateur physique. Le libellé du vSphere Distributed Switch indique la fonction ou le sous-réseau IP du commutateur. Par exemple, vous pouvez attribuer le libellé « interne » au commutateur pour indiquer qu'il est destiné uniquement à la mise en réseau interne d'un commutateur virtuel privé de machine virtuelle, sans liaison avec des adapteurs réseau physiques.

  6. Désactivez le contrôle de santé du réseau pour vos vSphere Distributed Switches si vous ne l'utilisez pas activement.

    Le contrôle de santé du réseau est désactivé par défaut. Une fois qu'il est activé, les paquets de contrôle de santé contiennent des informations sur l'hôte, le commutateur et le port, susceptibles d'être utilisées par un pirate. N'utilisez le contrôle de santé du réseau que pour le dépannage et désactivez-le lorsque le dépannage est terminé.

  7. Protégez le trafic virtuel contre l'emprunt d'identité et les attaques de couche 2 d'interception en configurant une stratégie de sécurité sur les groupes de ports ou les ports.

    La stratégie de sécurité sur les groupes de ports distribués et les ports inclut les options suivantes :

    Pour consulter les paramètres actuels et les modifier, sélectionnez Gérer des groupes de ports distribués dans le menu contextuel (bouton droit de la souris) du Distributed Switch, puis sélectionnez Sécurité dans l'assistant. Consultez la documentation de Mise en réseau vSphere.