Sécurisation du réseau avec des pare-feu

Les administrateurs de sécurité utilisent des pare-feu pour protéger le réseau ou les composants sélectionnés dans le réseau des intrusions.

Les pare-feu contrôlent l'accès aux périphériques dans leur périmètre en fermant tous les ports, excepté pour ceux que l'administrateur désigne explicitement ou implicitement comme autorisés. Les ports que les administrateurs ouvrent permettent le trafic entre les périphériques sur différents côtés du pare-feu.

Important : Le pare-feu ESXi d' ESXi 5.5 et versions ultérieures n'autorise pas le filtrage par réseau du trafic vMotion. Par conséquent, vous devez établir des règles sur votre pare-feu externe pour vous assurer qu'aucune connexion entrante ne peut être réalisée vers le socket vMotion.

Dans un environnement de machines virtuelles, vous pouvez planifier la disposition des pare-feu entre les composants.

Pare-feu entre machines physiques telles que des systèmes vCenter Server et des hôtes ESXi.
Pare-feu entre une machine virtuelle et une autre, par exemple entre une machine virtuelle agissant comme serveur Web externe et une machine virtuelle connectée au réseau interne de votre entreprise.
Pare-feu entre une machine physique et une machine virtuelle, par exemple lorsque vous placez un pare-feu entre une carte réseau physique et une machine virtuelle.

L'utilisation des pare-feu dans une configuration ESXi dépend de la manière dont vous planifiez l'utilisation du réseau et du niveau de sécurité dont certains composants ont besoin. Par exemple, si vous créez un réseau virtuel où chaque machine virtuelle est dédiée à l'exécution d'une suite de tests de référence différents pour le même service, le risque d'accès non autorisé d'une machine virtuelle à une autre est minime. Par conséquent, une configuration où des pare-feu sont présents entre les machines virtuelles n'est pas nécessaire. Cependant, pour empêcher l'interruption d'un test exécuté à partir d'un hôte externe, vous pouvez configurer un pare-feu au point d'entrée du réseau virtuel pour protéger tout l'ensemble de machines virtuelles.

Pour obtenir la liste de tous les ports et protocoles pris en charge dans les produits VMware, y compris vSphere et vSAN, reportez-vous à la section Outil Ports et protocoles de VMware™ à l'adresse https://ports.vmware.com/. Vous pouvez rechercher des ports selon le produit VMware, créer une liste personnalisée de ports et imprimer ou enregistrer des listes de ports.

Pare-feux pour configurations avec vCenter Server

Si vous accédez aux hôtes ESXi par l'intermédiaire de vCenter Server, vous protégez généralement vCenter Server à l'aide d'un pare-feu.

Des pare-feu doivent être présents aux points d'entrée. Un pare-feu peut être situé entre les clients et vCenter Server ou vCenter Server et les clients peuvent être situés derrière un pare-feu.

Les réseaux configurés avec vCenter Server peuvent recevoir les communications par le biais de vSphere Client, de l'interface utilisateur des autres clients ou des clients qui utilisent vSphere API. Pendant le fonctionnement normal, vCenter Server écoute les données de ses hôtes et clients gérés sur les ports désignés. vCenter Server suppose aussi que ces hôtes gérés écoutent les donnés de vCenter Server sur les ports désignés. Si un pare-feu est présent entre l'un de ces éléments, vous devez vous assurer que le pare-feu a des ports ouverts pour prendre en charge le transfert des données.

Vous pouvez également inclure des pare-feu aux autres points d'accès dans le réseau, en fonction de l'utilisation du réseau et du niveau de sécurité requis par les clients. Sélectionnez les emplacements de vos pare-feu en fonction des risques de sécurité pour la configuration de votre réseau. Les emplacements de pare-feu suivants sont généralement utilisés.

Entre vSphere Client ou un client de gestion de réseau tiers et vCenter Server.
Si vos utilisateurs accèdent aux machines virtuelles via un navigateur Web, entre le navigateur Web et l'hôte ESXi.
Si vos utilisateurs accèdent à des machines virtuelles par l'intermédiaire de vSphere Client, entre vSphere Client et l'hôte ESXi. Cette connexion s'ajoute à la connexion entre vSphere Client et vCenter Server et elle nécessite un port différent.
Entre vCenter Server et les hôtes ESXi.
Entre les hôtes ESXi de votre réseau. Bien que le trafic entre les hôtes soit généralement considéré comme sécurisé, vous pouvez ajouter des pare-feu entre eux si vous vous inquiétez des défaillances de sécurité de machine à machine.
Si vous ajoutez des pare-feu entre les hôtes ESXi et que vous prévoyez de migrer des machines virtuelles entre elles, ouvrez les ports dans les pare-feu qui séparent l'hôte source des hôtes cibles.
Entre les hôtes ESXi et le stockage réseau tel que le stockage NFS ou iSCSI. Ces ports ne sont pas spécifiques à VMware. Configurez-les en fonction des spécifications de votre réseau.

Connexion à vCenter Server via un pare-feu

Ouvrez le port TCP 443 dans le pare-feu pour permettre à vCenter Server de recevoir des données.

Par défaut, vCenter Server utilise le port TCP 443 pour surveiller les données à partir de ses clients. Si vous disposez d'un pare-feu placé entre vCenter Server et ses clients, vous devez configurer la connexion par l'intermédiaire de laquelle vCenter Server peut recevoir des données des clients. La configuration du pare-feu dépend de ce qui est utilisé sur votre site. Renseignez-vous auprès de l'administrateur système de votre pare-feu local.

Connexion des hôtes ESXi via des pare-feu

Si vous avez un pare-feu entre vos hôtes ESXi et vCenter Server, assurez-vous que les hôtes gérés peuvent recevoir des données.

Pour configurer une connexion pour recevoir des données, ouvrez les ports au trafic des services tels que vSphere High Availability, vMotion, et vSphere Fault Tolerance. Reportez-vous à Configuration du pare-feu ESXi pour consulter une description des fichiers de configuration, de l'accès à vSphere Client et des commandes de pare-feu. Pour obtenir la liste des ports. consultez l'outil VMware Ports and Protocols™ à l'adresse https://ports.vmware.com.

Pare-feu pour les configurations sans vCenter Server

Si votre environnement n'inclut pas vCenter Server, les clients peuvent se connecter directement au réseau ESXi.

Vous pouvez vous connecter à un hôte ESXi autonome de différentes manières.

VMware Host Client
Interface ESXCLI
vSphere Web Services SDK ou vSphere Automation SDK
Des clients tiers

Les exigences de pare-feu pour les hôtes autonomes sont similaires aux exigences lorsque vCenter Server est présent.

Utilisez un pare-feu pour protéger votre couche ESXi ou, en fonction de votre configuration, vos clients et la couche ESXi. Ce pare-feu fournit une protection de base à votre réseau.
La licence pour ce type de configuration fait partie du module ESXi que vous installez sur chacun des hôtes. L'attribution de licence étant résidente dans ESXi, un License Server distinct avec un pare-feu n'est pas nécessaire.

Vous pouvez configurer les ports du pare-feu à l'aide d'ESXCLI ou VMware Host Client. Reportez-vous à la section Gestion individuelle des hôtes vSphere - VMware Host Client.

Connexion à la console de machine virtuelle via un pare-feu

Certains ports doivent être ouverts pour la communication utilisateur et administrateur avec la console de machine virtuelle. Les ports nécessitant d'être ouverts varient selon le type de console de machine virtuelle et si vous vous connectez via vCenter Server avec vSphere Client ou directement à l'hôte ESXi depuis VMware Host Client.

Pour plus d'informations sur les ports, l'objectif et la classification (en entrée, en sortie ou dans les deux directions), reportez-vous à l'outil VMware Ports and Protocols™ sur https://ports.vmware.com.

Connexion à une console de machine virtuelle basée sur une interface de navigation au moyen vSphere Client

Lorsque vous vous connectez avec vSphere Client, vous vous connectez toujours au système vCenter Server qui gère l'hôte ESXi et accédez à la console de machine virtuelle depuis là.

Si vous utilisez vSphere Client et que vous vous connectez à une console de machine virtuelle basée sur une interface de navigation, l'accès suivant doit être possible :

Le pare-feu doit autoriser vSphere Client à accéder à vCenter Server par le port 443.
Le pare-feu doit autoriser vCenter Server à accéder à ESXi par le port 902.

Connexion à VMware Remote Console via vSphere Client

Si vous utilisez vSphere Client et que vous vous connectez à VMware Remote Console (VMRC), l'accès suivant doit être possible :

Le pare-feu doit autoriser vSphere Client à accéder à vCenter Server par le port 443.
Le pare-feu doit permettre à VMRC d'accéder à vCenter Server sur le port 443 et d'accéder à l'hôte ESXi sur le port 902 pour les versions VMRC antérieures à la version 11.0, et le port 443 pour VMRC version 11.0 et versions ultérieures. Pour plus d'informations sur les conditions requises pour VMRC version 11.0 et le port ESXi, consultez l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/76672.

Connexion aux hôtes ESXi directement avec VMware Host Client

Vous pouvez utiliser la console de machine virtuelle VMware Host Client si vous vous connectez directement à un hôte ESXi.

Note : N'utilisez pas VMware Host Client pour vous connecter directement aux hôtes gérés par un système vCenter Server. Si vous apportez des modifications à ces hôtes depuis VMware Host Client, votre environnement devient instable.

Le pare-feu doit autoriser l'accès à l'hôte ESXi sur les ports 443 et 902.

VMware Host Client utilise le port 902 pour fournir une connexion aux activités MKS du système d'exploitation invité sur les machines virtuelles. C'est par ce port que les utilisateurs interagissent avec les systèmes d'exploitation et les applications invités de la machine virtuelle. VMware ne prend pas en charge la configuration d'un port différent pour cette fonction.