Il sistema ESXi è progettato in modo che alcuni gruppi di macchine virtuali siano collegati alla rete interna, altri alla rete esterna e altri ancora a entrambi, tutti nello stesso host. Questa funzionalità rappresenta un aumento dell'isolamento della macchina virtuale di base associato a un uso pianificato delle funzionalità della rete virtuale.
Nella figura, l'amministratore di sistema ha configurato un host in tre aree distinte di macchine virtuali: server FTP, macchine virtuali interne e DMZ. Ogni area è dedicata a un'unica funzione.
Zona server FTP
La macchina virtuale 1 è configurata con il software FTP e agisce come area di attesa per i dati inviati a o da risorse esterne, come moduli e strumenti personalizzati localmente da un fornitore.
Questa macchina virtuale è associata solo a una rete esterna. Dispone del proprio commutatore virtuale e di una scheda di rete fisica che lo connettono alla rete esterna 1. Questa rete è dedicata ai server utilizzati dall'azienda per ricevere dati da origini esterne. Ad esempio, l'azienda utilizza la rete esterna 1 per ricevere il traffico FTP dai fornitori e consentire loro di accedere ai dati archiviati nei server disponibili esternamente tramite FTP. Oltre a effettuare la manutenzione della macchina virtuale 1, la rete esterna 1 serve i server FTP configurati su host ESXi diversi in tutto il sito.
Poiché la macchina virtuale 1 non condivide un commutatore virtuale o una scheda di rete fisica con nessuna macchina virtuale nell'host, le altre macchine virtuali residenti non potranno trasmettere o ricevere i pacchetti dalla rete della macchina virtuale 1. Questa restrizione impedisce gli attacchi di sniffing, i quali richiedono l'invio del traffico di rete alla vittima. E, aspetto ancora più importante, un utente malintenzionato non può utilizzare la vulnerabilità naturale di FTP per accedere ad altre macchine virtuali dell'host.
Area rete interna
Le macchine virtuali da 2 a 5 sono riservate per l'uso interno. Queste macchine virtuali elaborano e memorizzano i dati privati relativi all'azienda, come ad esempio cartelle cliniche, contratti legali e indagini sulle frodi. Di conseguenza, gli amministratori di sistema devono garantire il massimo livello di protezione per queste macchine virtuali.
Queste macchine virtuali si connettono alla rete interna 2 attraverso il proprio commutatore virtuale e una scheda di rete. La rete interna 2 è riservata all'uso interno da parte del personale, come ad esempio il personale responsabile del trattamento di sinistri, gli avvocati interni o i periti.
Le macchine virtuali da 2 a 5 possono comunicare tra loro attraverso il commutatore virtuale e con macchine virtuali interne situate altrove sulla rete interna 2 attraverso la scheda di rete fisica. Non possono invece comunicare con le macchine rivolte verso l'esterno. Come per il server FTP, queste macchine virtuali non possono inviare o ricevere pacchetti dalle altre reti delle macchine virtuali. Allo stesso modo, le altre macchine virtuali dell'host non possono inviare o ricevere pacchetti dalle macchine virtuali da 2 a 5.
Zona DMZ
Le macchine virtuali da 6 a 8 sono configurate come una DMZ utilizzata dal gruppo di marketing per pubblicare il sito Web esterno dell'azienda.
Questo gruppo di macchine virtuali è associato alla rete esterna 2 e alla rete interna 1. L'azienda utilizza la rete esterna 2 per supportare i server Web che usano i dipartimenti finanziario e di marketing per ospitare il sito Web aziendale e altre strutture Web ospitanti utenti esterni. La rete interna 1 è il metodo utilizzato dal dipartimento di marketing per pubblicare i contenuti sul sito Web aziendale, ospitare download e gestire servizi come i forum degli utenti.
Poiché queste reti sono separate dalla rete esterna 1 e dalla rete interna 2 e le macchine virtuali non hanno punti di contatto condivisi (commutatori o schede), non vi è alcun rischio di attacco a o dal server FTP o al gruppo di macchine virtuali interne.
Vantaggi dell'utilizzo delle zone delle macchine virtuali
Sfruttando l'isolamento della macchina virtuale, configurando correttamente i commutatori virtuali e mantenendo la separazione della rete, è possibile ospitare tutte e tre le aree delle macchine virtuali sullo stesso host ESXi ed essere sicuro che non vi saranno violazioni dei dati o delle risorse.
L'azienda impone l'isolamento tra i gruppi di macchine virtuali utilizzando più reti interne ed esterne, assicurandosi che i commutatori virtuali e le schede di rete fisiche per ciascun gruppo siano separati da quelli degli altri gruppi.
Poiché nessun commutatore virtuale passa da un'area all'altra della macchina virtuale, si riesce a eliminare il rischio di perdita di pacchetti da un'area all'altra. Per impostazione predefinita, un commutatore virtuale non può perdere direttamente i pacchetti su un altro commutatore virtuale. Le uniche circostanze consentite per lo spostamento di pacchetti da un commutatore virtuale a un altro sono le seguenti:
- I commutatori virtuali sono connessi alla stessa LAN fisica.
- Si connettono a una macchina virtuale comune, la quale può essere utilizzata per trasmettere i pacchetti.
Nessuna di queste condizioni si verifica nella configurazione di esempio. Se si desidera verificare che non siano presenti percorsi di commutatori virtuali comuni, è possibile verificare la presenza di possibili punti di contatto condivisi esaminando il layout del commutatore di rete in vSphere Client.
Per proteggere le risorse delle macchine virtuali, configurare una prenotazione di risorse e un limite per ogni macchina virtuale, ciò riduce il rischio di attacchi DoS e DDoS. È possibile proteggere ulteriormente l'host e le macchine virtuali ESXi installando firewall software nella parte anteriore e nei back-end di DMZ. Infine, verificare che l'host si trovi dietro un firewall fisico e configurare le risorse di storage in rete in modo che ciascuna disponga del proprio commutatore virtuale.