Les administrateurs disposent de plusieurs options pour sécuriser des vSphere Distributed Switches dans leur environnement vSphere.
Les règles qui s'appliquent aux VLAN dans un vSphere Distributed Switch sont identiques à celles qui s'appliquent pour un commutateur standard. Pour plus d'informations, consultez Protection des commutateurs standard et VLAN.
Procédure
- Pour les groupes de ports distribués avec liaison statique, désactivez la fonction Extension automatique.
Extension automatique est activée par défaut dans vSphere 5.1 et versions ultérieures.
Pour désactiver Extension automatique, configurez la propriétéautoExpand
sous le groupe de ports distribués avec vSphere Web Services SDK ou avec une interface de ligne de commande. Reportez-vous à la documentation vSphere Web Services SDK. - Assurez-vous que tous les ID VLAN privés de tout vSphere Distributed Switch sont entièrement documentés.
- Si vous utilisez le balisage VLAN sur un dvPortgroup, les ID de VLAN doivent correspondre aux ID des commutateurs VLAN externes en amont. Si des ID de VLAN ne sont pas correctement suivis, une réutilisation erronée de ces derniers risque de générer un trafic inattendu. De la même manière, si des ID de VLAN sont incorrects ou manquants, le trafic risque de ne pas être transmis entre les machines physiques et virtuelles.
- Vérifiez l'absence de ports inutilisés sur un groupe de ports virtuels associé à un vSphere Distributed Switch.
- Attribuez un libellé à chaque vSphere Distributed Switch.
Les vSphere Distributed Switches associés à un hôte ESXi nécessitent une zone de texte pour le nom du commutateur. Ce libellé sert de descripteur fonctionnel du commutateur, tout comme le nom d'hôte associé à un commutateur physique. Le libellé du vSphere Distributed Switch indique la fonction ou le sous-réseau IP du commutateur. Par exemple, vous pouvez libeller le commutateur comme étant interne pour indiquer qu'il est réservé au réseau interne sur le commutateur virtuel privé d'une machine virtuelle. Aucun trafic ne transite par les adaptateurs réseau physiques.
- Désactivez le contrôle de santé du réseau pour vos vSphere Distributed Switches si vous ne l'utilisez pas activement.
Le contrôle de santé du réseau est désactivé par défaut. Une fois qu'il est activé, les paquets de contrôle de santé contiennent des informations sur l'hôte, le commutateur et le port, susceptibles d'être utilisées par un pirate. N'utilisez le contrôle de santé du réseau que pour le dépannage et désactivez-le lorsque le dépannage est terminé.
- Protégez le trafic virtuel contre l'emprunt d'identité et les attaques de couche 2 d'interception en configurant une stratégie de sécurité sur les groupes de ports ou les ports.
La stratégie de sécurité sur les groupes de ports distribués et les ports inclut les options suivantes :
- Modifications d'adresse MAC (reportez-vous à Modifications d'adresse MAC)
- Mode Proximité (reportez-vous à Fonctionnement en mode promiscuité)
- Transmissions forgées (reportez-vous à Transmissions forgées)
Pour consulter les paramètres actuels et les modifier, sélectionnez Gérer des groupes de ports distribués dans le menu contextuel (bouton droit de la souris) du Distributed Switch, puis sélectionnez Sécurité dans l'assistant. Consultez la documentation de Mise en réseau vSphere.