Sécurisez le commutateur physique sur chaque hôte ESXi pour empêcher les pirates d'obtenir accès à l'hôte et à ses machines virtuelles.

Pour garantir la meilleure protection de vos hôtes, assurez-vous que la configuration des ports du commutateur physique désactive le protocole STP (Spanning Tree Protocol) et que l'option de non-négociation est configurée pour les liaisons de jonction entre les commutateurs physiques externes et les commutateurs virtuels en mode VST (Virtual Switch Tagging).

Procédure

  1. Connectez-vous au commutateur physique et assurez-vous que le protocole Spanning Tree est désactivé ou que PortFast est configuré pour tous les ports de commutateur physique qui sont connectés aux hôtes ESXi.
  2. Pour des machines virtuelles qui effectuent un pontage ou un routage, vérifiez périodiquement que la configuration du premier port de commutateur physique en amont désactive BPDU Guard et PortFast et active le protocole Spanning Tree.
    Dans vSphere 5.1 et versions ultérieures, pour protéger le commutateur physique des attaques de déni de service (DoS), vous pouvez activer le filtrage BPDU invité sur les hôtes ESXi.
  3. Connectez-vous au commutateur physique et assurez-vous que le protocole DTP (Dynamic Trunking Protocol) n'est pas activé sur les ports du commutateur physique qui sont connectés aux hôtes ESXi.
  4. Vérifiez régulièrement les ports du commutateur physique pour vous assurer qu'ils sont correctement configurés comme ports de jonction s'ils sont connectés à des ports de jonction VLAN d'un commutateur virtuel.