La couche de mise en réseau virtuelle comprend des adaptateurs réseau virtuels, des commutateurs virtuels, des commutateurs virtuels distribués, des ports et des groupes de ports. ESXi utilise la couche réseau virtuelle pour les communications entre les machines virtuelles et leurs utilisateurs. En outre, ESXi utilise cette couche de mise en réseau pour communiquer avec les SAN iSCSI, le stockage NAS, etc.
vSphere offre toutes les fonctionnalités pour garantir une infrastructure de mise en réseau sécurisée. Vous pouvez sécuriser séparément chacun des éléments de l'infrastructure (commutateurs virtuels, commutateurs virtuels distribués ou adaptateurs réseau virtuels, par exemple). En outre, tenez compte des directives suivantes, détaillées dans le Sécurisation de la mise en réseau vSphere.
Isoler le trafic réseau
L'isolation du trafic réseau est essentielle pour un environnement ESXi sécurisé. Des réseaux différents requièrent un accès et un niveau d'isolation distincts. Un réseau de gestion isole le trafic client, le trafic de l'interface de ligne de commande ou de l'API ou le trafic des logiciels tiers du trafic normal. Assurez-vous que seuls les administrateurs système, réseau et de la sécurité peuvent accéder au réseau de gestion.
Reportez-vous à la section Recommandations de sécurité pour la mise en réseau d'ESXi.
Utiliser des pare-feu pour sécuriser les éléments du réseau virtuel
Vous pouvez ouvrir et fermer les ports de pare-feu et sécuriser les différents éléments du réseau virtuel séparément. Pour les hôtes ESXi, les règles de pare-feu associent les services avec les pare-feu correspondants et peuvent ouvrir et fermer le pare-feu en fonction de l'état du service.
Vous pouvez également ouvrir explicitement des ports sur les instances de vCenter Server.
Pour obtenir la liste de tous les ports et protocoles pris en charge dans les produits VMware, y compris vSphere et vSAN, reportez-vous à la section Outil Ports et protocoles de VMware™ à l'adresse https://ports.vmware.com/. Vous pouvez rechercher des ports selon le produit VMware, créer une liste personnalisée de ports et imprimer ou enregistrer des listes de ports.
Étudier les stratégies de sécurité réseau
Les stratégies de sécurité du réseau assurent la protection du trafic contre l'emprunt d'identité d'adresse MAC et l'analyse des ports indésirables. La règle de sécurité d'un commutateur standard ou distribué est mise en œuvre au niveau de la couche 2 (couche de liaison de données) de la pile de protocole réseau. Les trois éléments de la stratégie de sécurité sont le mode Proximité, les changements d'adresse MAC et les Transmissions forgées.
Les instructions sont disponibles dans la documentation Mise en réseau vSphere.
Sécuriser la mise en réseau des machines virtuelles
- Le système d'exploitation invité qui est installé
- L'utilisation ou non d'un environnement approuvé pour les machines virtuelles
Reportez-vous à la section Sécurisation de la mise en réseau vSphere.
Envisager les VLAN pour protéger votre environnement
ESXi prend en charge les VLAN IEEE 802.1q. Les VLAN vous permettent de segmenter un réseau physique. Vous pouvez les utiliser pour renforcer la protection de la configuration du stockage ou du réseau de machines virtuelles. Lorsque des VLAN sont utilisés, deux machines virtuelles sur le même réseau physique ne peuvent pas s'envoyer mutuellement des paquets ni en recevoir, sauf si elles se trouvent sur le même réseau VLAN.
Reportez-vous à la section Sécurisation des machines virtuelles avec des VLAN.
Sécuriser les connexions du stockage virtualisé
Une machine virtuelle stocke les fichiers du système d'exploitation, les fichiers d'applications et d'autres données sur un disque virtuel. Chaque disque virtuel apparaît sur la machine virtuelle en tant que lecteur SCSI connecté au contrôleur SCSI. Une machine virtuelle n'a pas accès aux détails du stockage ni aux informations relatives au LUN sur lequel réside son disque virtuel.
Le système VMFS (Virtual Machine File System) combine un système de fichiers distribué et un gestionnaire de volumes qui présente les volumes virtuels à l'hôte ESXi. La sécurisation de la connexion avec le stockage relève de votre responsabilité. Par exemple, si vous utilisez un stockage iSCSI, vous pouvez configurer votre environnement pour utiliser le protocole CHAP (Challenge Handshake Authentication). Si la stratégie de l'entreprise l'exige, vous pouvez configurer une authentification CHAP mutuelle. Utilisez vSphere Client ou les interfaces de ligne de commande pour configurer CHAP.
Reportez-vous à la section Meilleures pratiques en matière de sécurité du stockage.
Évaluer l'utilisation de la sécurité du protocole Internet
ESXi prend en charge la sécurité du protocole Internet (IPSec) sur IPv6. Vous ne pouvez pas utiliser IPSec sur IPv4.
Reportez-vous à la section Utilisation de la sécurité du protocole Internet sur les hôtes ESXi.