La sécurité du réseau dans l'environnement vSphere partage de nombreuses caractéristiques de sécurisation d'un environnement de réseau physique, mais inclut également des caractéristiques qui s'appliquent uniquement aux machines virtuelles.
Pare-feu
Ajoutez une protection par pare-feu à votre réseau virtuel en installant et en configurant des pare-feu hébergés sur hôte sur certaines ou la totalité de ses machines virtuelles.
Pour une plus grand efficacité, vous pouvez configurer des réseaux Ethernet privés de machines virtuelles ou des réseaux virtuels. Avec les réseaux virtuels, vous installez un pare-feu hébergé sur hôte sur une machine virtuelle à la tête du réseau virtuel. Ce pare-feu sert de tampon de protection entre l'adaptateur réseau physique et les machines virtuelles restantes du réseau virtuel.
Les pare-feu basés sur l'hôte peuvent ralentir les performances. Équilibrez vos besoins en sécurité par rapport à vos objectifs de performances avant d'installer des pare-feu basés sur l'hôte sur des machines virtuelles situées à un autre emplacement dans le réseau virtuel.
Reportez-vous à Sécurisation du réseau avec des pare-feu.
Segmentation
Conservez différentes zones de machines virtuelles au sein d'un hôte sur différents segments du réseau. Si vous isolez chaque zone de machines virtuelles sur leur propre segment de réseau, vous réduisez le risque de fuite de données d'une zone à la suivante. La segmentation permet de prévenir diverses menaces, notamment la falsification de la réponse ARP (ARP spoofing). Dans le cas de la falsification de la réponse ARP, un pirate manipule la table ARP pour remapper les adresses IP et MAC afin d'accéder au trafic réseau vers et depuis un hôte. Les pirates utilisent la falsification de la réponse ARP (ARP spoofing) pour générer des attaques « Man in the Middle » (MITM), effectuer des attaques par déni de service (DoS), pirater le système cible ou perturber le réseau virtuel.
Une planification rigoureuse de la segmentation réduit les chances de transmissions de paquets entre les zones de machines virtuelles. La segmentation évite ainsi les intrusions qui nécessitent l'envoi de trafic réseau à la victime. Par conséquent, un attaquant ne peut pas utiliser un service non sécurisé sur une zone de machines virtuelles pour accéder aux autres zones de machines virtuelles de l'hôte. Vous pouvez implémenter la segmentation avec une des deux approches suivantes.
- Utilisez des adaptateurs réseau physiques séparés pour des zones de machines virtuelles afin de garantir que les zones sont isolées. Conserver des adaptateurs réseau physiques séparés pour des zones de machines virtuelles est probablement la méthode la plus sécurisée après la création des segments initiaux. Cette approche est moins sujette à une configuration incorrecte.
- Configurez des réseaux locaux virtuels (VLAN) pour protéger votre réseau. Les VLAN fournissent presque tous les avantages de sécurité inhérents dans l'implémentation de réseaux physiquement séparés sans surcharge de matériel. Elles peuvent vous économiser les coûts de déploiement et de maintenance de périphériques supplémentaires, de câblage, etc. Reportez-vous à Sécurisation des machines virtuelles avec des VLAN.
Prévention de l'accès non autorisé
- Si un réseau de machines virtuelles est connecté à un réseau physique, il peut être soumis à des défaillances tout comme un réseau constitué de machines physiques.
- Une machine virtuelle est susceptible d'être attaquée par d'autres machines virtuelles, même si vous ne la connectez pas au réseau physique.
Les machines virtuelles sont isolées les unes des autres. Une machine virtuelle ne peut pas lire ou écrire dans la mémoire d'une autre machine virtuelle, accéder à ses données, utiliser ses applications, etc. Cependant, au sein du réseau, une machine virtuelle ou un groupe de machines virtuelles peut malgré tout être la cible d'un accès non autorisé à partir d'autres machines virtuelles. Protégez vos machines virtuelles contre ces accès non autorisés.
