Il livello di rete virtuale include schede di rete virtuali, commutatori virtuali, commutatori virtuali distribuiti, porte e gruppi di porte. ESXi utilizza il livello di rete virtuale per supportare le comunicazioni tra le macchine virtuali e i relativi utenti. Inoltre, ESXi utilizza il livello di rete virtuale per comunicare con SAN iSCSI, con lo storage NAS e così via.

vSphere include la gamma completa delle funzionalità necessarie per un'infrastruttura di rete sicura. È possibile proteggere separatamente ogni elemento dell'infrastruttura, ad esempio commutatori virtuali, commutatori virtuali distribuiti e schede di rete virtuali. Tenere inoltre presenti le seguenti linee guida, spiegate più dettagliatamente in Eseguire la rete vSphere.

Isolamento del traffico di rete

ESXiL'isolamento del traffico di rete è essenziale per un ambiente sicuro. Reti diverse richiedono accesso e livello di isolamento diversi. Una rete di gestione isola il traffico del client, il traffico dell'interfaccia della riga di comando (CLI) o dell'API e il traffico del software di terze parti dal traffico normale. Assicurarsi che la rete di gestione sia accessibile solo per gli amministratori di sistema, di rete e della sicurezza.

Vedere Consigli per la sicurezza della rete ESXi.

Utilizzo dei firewall per proteggere gli elementi della rete virtuale

È possibile aprire e chiudere le porte del firewall e proteggere ciascun elemento della rete virtuale separatamente. Per gli host ESXi, le regole del firewall associano i servizi ai firewall corrispondenti e possono aprire e chiudere il firewall in base allo stato del servizio.

È inoltre possibile aprire esplicitamente le porte nelle istanze di vCenter Server.

Per l'elenco di tutte le porte e i protocolli supportati nei prodotti VMware, inclusi vSphere e vSAN, vedere lo strumento VMware Ports and Protocols™ in https://ports.vmware.com/. È possibile cercare le porte in base VMware prodotto, creare un elenco personalizzato di porte e stampare o salvare gli elenchi di porte.

Criteri di sicurezza della rete

I criteri di sicurezza della rete offrono la protezione del traffico dalla rappresentazione di indirizzi MAC e dalla scansione di porte indesiderate. Il criterio di protezione di un commutatore standard o distribuito viene implementato nel livello 2 (data-link layer) dello stack del protocollo di rete. I tre elementi del criterio di sicurezza sono la modalità promiscua, le modifiche agli indirizzi MAC e le trasmissioni contraffatte.

Per istruzioni, vedere la documentazione Rete di vSphere.

Protezione della rete della macchina virtuale

I metodi utilizzati per proteggere i servizi di rete delle macchine virtuali dipendono da diversi fattori, tra cui:
  • Il sistema operativo guest installato
  • Il fatto che le macchine virtuali operino in un ambiente attendibile
I commutatori virtuali e i commutatori virtuali distribuiti offrono una protezione elevata quando vengono utilizzati con altre procedure di protezione comuni, come l'installazione di firewall.

Vedere Eseguire la rete vSphere.

Utilizzo delle VLAN per proteggere l'ambiente

ESXi supporta le VLAN IEEE 802.1q. Le VLAN consentono di segmentare una rete fisica. È possibile utilizzare le VLAN per proteggere ulteriormente la rete della macchina virtuale o la configurazione dello storage. Quando si utilizzano le VLAN, due macchine virtuali della stessa rete fisica non possono inviare pacchetti o ricevere pacchetti l'una dall'altra, a meno che non si trovino nella stessa VLAN.

Vedere Protezione delle macchine virtuali con VLAN.

Connessioni protette allo storage virtualizzato

Una macchina virtuale archivia i file del sistema operativo, i file delle applicazioni e altri dati in un disco virtuale. Ogni disco virtuale viene visualizzato nella macchina virtuale come unità SCSI connessa a un controller SCSI. Una macchina virtuale è isolata dai dettagli dello storage e non può accedere alle informazioni sul LUN in cui si trova il disco virtuale.

Virtual Machine File System (VMFS) è uno strumento di gestione di file system distribuiti e volumi che presenta i volumi virtuali all'host ESXi. L'utente è responsabile della protezione della connessione allo storage. Ad esempio, se si utilizza lo storage iSCSI, è possibile configurare l'ambiente per l'utilizzo del CHAP (Challenge Handshake Authentication Protocol). Se necessario in base ai criteri dell'azienda, è possibile configurare un CHAP reciproco. Utilizzare vSphere Client o le CLI per configurare il protocollo CHAP.

Vedere Procedure consigliate per la sicurezza dello storage.

Utilizzo di Internet Protocol Security

ESXi supporta IPSec (Internet Protocol Security) su IPv6. Non è possibile utilizzare IPSec su IPv4.

Vedere Utilizzo della sicurezza dei protocolli Internet negli host ESXi.