Sécurisation de la couche de mise en réseau virtuelle

La couche de mise en réseau virtuelle comprend des adaptateurs réseau virtuels, des commutateurs virtuels, des commutateurs virtuels distribués, des ports et des groupes de ports. ESXi utilise la couche réseau virtuelle pour les communications entre les machines virtuelles et leurs utilisateurs. En outre, ESXi utilise cette couche de mise en réseau pour communiquer avec les SAN iSCSI, le stockage NAS, etc.

vSphere offre toutes les fonctionnalités pour garantir une infrastructure de mise en réseau sécurisée. Vous pouvez sécuriser séparément chacun des éléments de l'infrastructure (commutateurs virtuels, commutateurs virtuels distribués ou adaptateurs réseau virtuels, par exemple). En outre, tenez compte des directives suivantes, détaillées dans le Sécurisation de la mise en réseau vSphere.

Isoler le trafic réseau

L'isolation du trafic réseau est essentielle pour un environnement ESXi sécurisé. Des réseaux différents requièrent un accès et un niveau d'isolation distincts. Un réseau de gestion isole le trafic client, le trafic de l'interface de ligne de commande ou de l'API ou le trafic des logiciels tiers du trafic normal. Assurez-vous que seuls les administrateurs système, réseau et de la sécurité peuvent accéder au réseau de gestion.

Reportez-vous à la section Recommandations de sécurité pour la mise en réseau d'ESXi.

Utiliser des pare-feu pour sécuriser les éléments du réseau virtuel

Vous pouvez ouvrir et fermer les ports de pare-feu et sécuriser les différents éléments du réseau virtuel séparément. Pour les hôtes ESXi, les règles de pare-feu associent les services avec les pare-feu correspondants et peuvent ouvrir et fermer le pare-feu en fonction de l'état du service.

Vous pouvez également ouvrir explicitement des ports sur les instances de Platform Services Controller et vCenter Server.

Pour obtenir la liste de tous les ports et protocoles pris en charge dans les produits VMware, y compris vSphere et vSAN, reportez-vous à la section Outil Ports et protocoles de VMware™ à l'adresse https://ports.vmware.com/. Vous pouvez rechercher des ports selon le produit VMware, créer une liste personnalisée de ports et imprimer ou enregistrer des listes de ports.

Envisager des stratégies de sécurité du réseau

Les stratégies de sécurité du réseau assurent la protection du trafic contre l'emprunt d'identité d'adresse MAC et l'analyse des ports indésirables. La règle de sécurité d'un commutateur standard ou distribué est mise en œuvre au niveau de la couche 2 (couche de liaison de données) de la pile de protocole réseau. Les trois éléments de la stratégie de sécurité sont le mode Proximité, les changements d'adresse MAC et les Transmissions forgées.

Les instructions sont disponibles dans la documentation Mise en réseau vSphere.

Sécuriser la mise en réseau de machines virtuelles

Les méthodes qui vous permettent de sécuriser la mise en réseau de machines virtuelles dépendent de plusieurs facteurs, notamment :

du système d'exploitation invité qui est installé ;
de l'utilisation d'un environnement approuvé pour les machines virtuelles.

Les commutateurs virtuels et les commutateurs virtuels distribués offrent un niveau de protection élevé lorsqu'ils sont utilisés avec d'autres mesures de sécurité courantes (installation de pare-feu, notamment).

Reportez-vous à la section Sécurisation de la mise en réseau vSphere.

Envisager les VLAN pour protéger votre environnement

ESXi prend en charge les VLAN IEEE 802.1q. Les VLAN vous permettent de segmenter un réseau physique. Vous pouvez les utiliser pour renforcer la protection de la configuration du stockage ou du réseau de machines virtuelles. Lorsque des VLAN sont utilisés, deux machines sur le même réseau physique ne peuvent pas s'envoyer mutuellement des paquets ni en recevoir, sauf s'ils se trouvent sur le même réseau VLAN.

Reportez-vous à la section Sécurisation des machines virtuelles avec des VLAN.

Sécuriser les connexions du stockage virtualisé

Une machine virtuelle stocke les fichiers du système d'exploitation, les fichiers de programme et d'autres données sur un disque virtuel. Chaque disque virtuel apparaît sur la machine virtuelle en tant que lecteur SCSI connecté au contrôleur SCSI. Une machine virtuelle n'a pas accès aux détails du stockage ni aux informations relatives au LUN sur lequel réside son disque virtuel.

Le système VMFS (Virtual Machine File System) combine un système de fichiers distribué et un gestionnaire de volumes qui présente les volumes virtuels à l'hôte ESXi. La sécurisation de la connexion avec le stockage relève de votre responsabilité. Par exemple, si vous utilisez un stockage iSCSI, vous pouvez configurer votre environnement pour utiliser le protocole CHAP. Si la stratégie de l'entreprise l'exige, vous pouvez configurer une authentification CHAP mutuelle. Utilisez vSphere Web Client ou les interfaces de ligne de commande pour configurer CHAP.

Reportez-vous à la section Meilleures pratiques en matière de sécurité du stockage.

Évaluer l'utilisation d'IPSec

ESXi prend en charge IPSec sur IPv6. Vous ne pouvez pas utiliser IPSec sur IPv4.

Reportez-vous à la section Sécurité du protocole Internet.

De plus, déterminez si VMware NSX for vSphere est une solution adéquate pour sécuriser la couche de mise en réseau dans votre environnement.