Utilizzo di firewall

Aggiungere la protezione firewall alla rete virtuale installando e configurando firewall basati sull'host su alcune o tutte le relative macchine virtuali.

Per aumentare l'efficienza, è possibile configurare reti Ethernet private di macchine virtuali o reti virtuali. Con le reti virtuali, si installa un firewall basato sull'host su una macchina virtuale all'inizio della rete virtuale. Questo firewall funge da buffer di protezione tra la scheda di rete fisica e le macchine virtuali rimanenti nella rete virtuale.

I firewall basati sull'host possono rallentare le prestazioni. Prima di installare firewall basati sull'host in un altro punto della rete virtuale della macchina virtuale, è necessario bilanciare le esigenze di sicurezza con gli obiettivi di prestazioni.

Vedere Protezione della rete con i firewall.

Utilizzo della segmentazione di rete

Mantenere zone di macchine virtuali diverse all'interno di un host su segmenti di rete differenti. Isolando ciascuna zona di macchina virtuale nel proprio segmento di rete, si riduce al minimo il rischio di perdita di dati da una zona a quella successiva. La segmentazione impedisce varie minacce, tra cui lo spoofing ARP (Address Resolution Protocol). Con lo spoofing ARP, l'autore dell'attacco manipola la tabella ARP in modo da rimappare gli indirizzi MAC e IP e ottenere l'accesso al traffico di rete da e verso un host. Gli autori degli attacchi utilizzano lo spoofing ARP per generare attacchi "man in the middle" (MITM), attacchi DoS (Denial of Service), assumere il controllo del sistema di destinazione e perturbare la rete virtuale.

Pianificando attentamente la segmentazione, si riducono le possibilità di trasmissione dei pacchetti tra le zone delle macchine virtuali. La segmentazione impedisce quindi attacchi di sniffing che richiedono l'invio del traffico di rete alla vittima. Inoltre, un utente malintenzionato non può utilizzare un servizio non protetto nella zona di una macchina virtuale per accedere ad altre zone delle macchine virtuali nell'host. È possibile implementare la segmentazione utilizzando uno dei due approcci.

• Utilizzare schede di rete fisica separati per le zone delle macchine virtuali per assicurarsi che le zone siano isolate. Mantenere le schede di rete fisica separati per le zone delle macchine virtuali è probabilmente il metodo più sicuro. Dopo la creazione dei segmenti iniziali. Questo approccio è meno soggetto a errori di configurazione.
• Configurare le reti locali virtuali (VLAN) per proteggere la rete. Le VLAN offrono quasi tutti i vantaggi di sicurezza relativi all'implementazione delle reti fisicamente separate senza le spese generali dell'hardware. Le VLAN consentono di risparmiare il costo della distribuzione e della manutenzione di dispositivi aggiuntivi, cavi e così via. Vedere Protezione delle macchine virtuali con VLAN.

Prevenzione dell'accesso non autorizzato alle macchine virtuali

Le macchine virtuali sono isolate le une dalle altre. Una macchina virtuale non può leggere o scrivere nella memoria di un'altra macchina virtuale, accedere ai suoi dati, utilizzare le sue applicazioni e così via. Tuttavia, tutte le macchine virtuali o i gruppi di macchine virtuali all'interno della rete possono comunque essere l'obiettivo di accessi non autorizzati di altre macchine virtuali. Proteggere le macchine virtuali da questo accesso non autorizzato.

Per ulteriori informazioni sulla protezione delle macchine virtuali, vedere il documento NIST recante il titolo "Secure Virtual Network Configuration for Virtual Machine (VM) Protection" all'indirizzo:

https://csrc.nist.gov/publications/detail/sp/800-125b/final