La rete può essere una delle parti più vulnerabili di qualsiasi sistema. La rete della macchina virtuale richiede lo stato di protezione richiesto dalla rete fisica. L'uso di VLAN può migliorare la sicurezza della rete nell'ambiente in uso.

Le VLAN sono uno schema di rete standard IEEE con metodi di assegnazione dei tag specifici che consentono il routing dei pacchetti solo sulle porte che fanno parte della VLAN. Se configurate correttamente, le VLAN forniscono un mezzo affidabile per proteggere un insieme di macchine virtuali da intrusioni accidentali o dannose.

Le VLAN consentono di segmentare una rete fisica in modo che due macchine della rete non possano trasmettere pacchetti a meno che non facciano parte della stessa VLAN. Ad esempio, i record e le transazioni contabili sono considerati tra le informazioni interne più sensibili di un'azienda. In un'azienda i cui dipendenti del reparto vendite, spedizioni e contabilità utilizzano macchine virtuali della stessa rete fisica, è possibile proteggere le macchine virtuali del reparto contabilità impostando delle VLAN.

Figura 1. Layout VLAN di esempio
Layout VLAN di esempio

In questa configurazione, tutti i dipendenti del reparto contabilità utilizzano le macchine virtuali nella VLAN A e i dipendenti del reparto vendite utilizzano le macchine virtuali nella VLAN B.

Il router inoltra i pacchetti contenenti i dati della contabilità ai commutatori. A questi pacchetti vengono assegnati tag solo per la distribuzione nella VLAN A. I dati vengono pertanto limitati al dominio di broadcast A e non possono essere instradati verso il dominio di broadcast B, tranne quando il router è configurato in questo modo.

Tale configurazione VLAN impedisce alle vendite di intercettare i pacchetti destinati al reparto contabilità. Impedisce inoltre al reparto contabilità di ricevere pacchetti destinati al gruppo vendite. Le macchine virtuali contrassegnate da un singolo commutatore virtuale possono trovarsi in VLAN diverse.

Considerazioni di sicurezza per le VLAN

Il modo in cui si configurano le VLAN per proteggere le parti di una rete dipende da fattori come il sistema operativo guest e dalla modalità di configurazione dell'attrezzatura di rete.

ESXi include un'implementazione completa della VLAN conforme a IEEE 802.1q. VMware non può eseguire raccomandazioni specifiche su come configurare le VLAN, tuttavia esistono alcuni fattori da prendere in considerazione quando si utilizza una distribuzione VLAN come parte del criterio di imposizione della protezione.

VLAN sicure

Gli amministratori dispongono di diverse opzioni per proteggere le VLAN nel proprio ambiente vSphere.

Procedura

  1. Assicurarsi che i gruppi di porte non siano configurati sui valori VLAN riservati dai commutatori fisici upstream
    Non impostare gli ID VLAN su valori riservati al commutatore fisico.
  2. Verificare che i gruppi di porte non siano configurati sulla VLAN 4095, tranne in caso di utilizzo per Virtual Guest Tagging (VGT).
    In vSphere sono presenti tre tipi di tag VLAN:
    • Assegnazione tag al commutatore esterno (EST)
    • Virtual Switch Tagging (VST): il commutatore virtuale contrassegna con l'ID VLAN configurato il traffico in entrata nelle macchine virtuali collegate e rimuove il tag VLAN dal traffico che le lascia. Per configurare la modalità VST, assegnare un ID VLAN compreso tra 1 e 4094.
    • Virtual Guest Tagging (VGT): le macchine virtuali gestiscono il traffico VLAN. Per attivare la modalità VGT, impostare l'ID della VLAN su 4095. In un commutatore distribuito è inoltre possibile consentire il traffico della macchina virtuale in base alla relativa VLAN utilizzando l'opzione VLAN Trunking.

    In un commutatore standard è possibile configurare la modalità di rete VLAN a livello di commutatore o gruppo di porte e su un commutatore distribuito a livello di gruppo di porte distribuito o di porta.

  3. Assicurarsi che tutte le VLAN in ogni commutatore virtuale siano completamente documentate e che ogni commutatore virtuale disponga di tutte le VLAN richieste e solo le VLAN richieste.