Le réseau peut être l'une des parties les plus vulnérables d'un système. Votre réseau de machines virtuelles nécessite autant de protection que votre réseau physique. L'utilisation des VLAN peut permettre d'améliorer la sécurité réseau dans votre environnement.

Les VLAN sont un schéma de réseau standard IEEE avec des méthodes de balisage spécifiques qui permettent le routage des paquets uniquement vers les ports faisant partie du VLAN. S'ils sont configurés correctement, les VLAN fournissent un moyen fiable pour protéger un ensemble de machines virtuelles des intrusions accidentelles et nuisibles.

Les VLAN vous permettent de segmenter un réseau physique afin que deux machines du réseau ne puissent pas transmettre et recevoir des paquets à moins de faire partie du même VLAN. Par exemple, les enregistrements de comptabilité et les transactions font partie des informations internes les plus sensibles d'une entreprise. Dans une entreprise dont les employés des ventes, des expéditions et de la comptabilité utilisent tous des machines virtuelles sur le même réseau physique, vous pouvez protéger les machines virtuelles du service de comptabilité en configurant des VLAN.

Figure 1. Exemple de disposition de VLAN
Exemple de disposition de VLAN

Dans cette configuration, tous les employés du service de comptabilité utilisent des machines virtuelles dans un VLAN A et les employés des ventes utilisent des machines virtuelles dans VLAN B.

Le routeur transmet les paquets contenant les données de comptabilité aux commutateurs. Ces paquets sont balisés pour une distribution sur le VLAN A uniquement. Par conséquent, les données sont confinées à une diffusion dans le domaine A et ne peuvent pas être acheminées pour une diffusion dans le domaine B à moins que le routeur ne soit configuré pour le faire.

Cette configuration de VLAN empêche les forces de vente d'intercepter les paquets destinés au service de comptabilité. Elle empêche également le service de comptabilité de recevoir des paquets destinés au groupes de ventes. Les machines virtuelles prises en charge par un seul commutateur virtuel peuvent se trouver sur des VLAN différents.

Considérations relatives à la sécurité pour les VLAN

La manière dont vous configurez les VLAN pour sécuriser des parties du réseau dépend de facteurs tels que le système d'exploitation invité et la façon dont votre équipement réseau est configuré.

ESXi dispose d'une implémentation VLAN complète conforme IEEE 802.1q. VMware ne peut pas faire de recommandations spécifiques sur la manière de configurer des VLAN, mais il existe des facteurs à prendre en compte lors de l'utilisation d'un déploiement VLAN dans le cadre de votre stratégie d'application de la sécurité.

Sécuriser les VLAN

Les administrateurs disposent de plusieurs options permettant de sécuriser les réseaux VLAN dans leur environnement vSphere.

Procédure

  1. Assurez-vous que les groupes de ports ne sont pas configurés pour des valeurs VLAN réservées par les commutateurs physiques en amont
    Ne définissez pas de valeurs ID VLAN réservées au commutateur physique.
  2. Assurez-vous que les groupes de ports ne sont pas configurés sur VLAN 4095, sauf si vous utilisez le balisage d'invité virtuel (VGT).
    Il existe trois types de balisage VLAN dans vSphere :
    • Balisage de commutateur externe (EST)
    • Balisage de commutateur virtuel (VST) - Le commutateur virtuel marque avec l'ID de VLAN le trafic qui entre dans les machines virtuelles attachées et supprime la balise VLAN du trafic qui les quitte. Pour configurer le mode VST, attribuez un ID VLAN compris entre 1 et 4094.
    • Balisage d'invité virtuel (VGT) - Les machines virtuelles gèrent le trafic VLAN. Pour activer le mode VGT, définissez l'ID VLAN sur 4095. Sur un commutateur distribué, vous pouvez également autoriser le trafic d'une machine virtuelle en fonction de son réseau VLAN à l'aide de l'option Jonction VLAN.

    Sur un commutateur standard, vous pouvez configurer le mode de mise en réseau VLAN au niveau du commutateur ou du groupe de ports, et sur un commutateur distribué au niveau du groupe de ports distribués ou du port.

  3. Assurez-vous que tous les réseaux VLAN de chaque commutateur virtuel sont pleinement documentés et que chaque commutateur virtuel dispose de tous les VLAN requis et des VLAN seulement nécessaires.