Il rispetto delle procedure consigliate per la sicurezza dei rete consente di garantire l'integrità della distribuzione vSphere.

Consigli generali sulla sicurezza della rete vSphere

Seguire le raccomandazioni generali sulla sicurezza della rete è il primo passo per proteggere l'ambiente di rete vSphere. È quindi possibile passare ad aree speciali, ad esempio la protezione della rete con firewall o utilizzando IPsec.

Consigli per proteggere un ambiente di rete vSphere

  • Spanning Tree Protocol (STP) rileva e impedisce la formazione di loop nella topologia di rete. I commutatori virtuali VMware impediscono la formazione di loop in altri modi, ma non supportano STP direttamente. Quando si verificano delle modifiche della topologia di rete, è necessario un po' di tempo (30-50 secondi) affinché la rete impari nuovamente la topologia. Durante questo periodo di tempo, non è consentito il passaggio del traffico. Per evitare questi problemi, i fornitori di rete hanno creato delle funzionalità che consentono alle porte di commutazione di continuare ad inoltrare il traffico. Per ulteriori informazioni, consultare l'articolo della Knowledge Base di VMware all'indirizzo https://kb.vmware.com/s/article/1003804. Consultare la documentazione del fornitore della rete per informazioni sulle configurazioni dell'hardware di rete e della rete corrette.
  • Assicurarsi che il traffico NetFlow per un commutatore virtuale distribuito venga inviato solo a indirizzi IP di raccolta autorizzati. Le esportazioni di NetFlow non sono crittografate e possono contenere informazioni sulla rete virtuale. Queste informazioni aumentano la possibilità, da parte degli autori degli attacchi, di visualizzare e acquisire informazioni sensibili durante il transito. Se l'esportazione NetFlow è necessaria, verificare che tutti gli indirizzi IP di destinazione di NetFlow siano corretti.
  • Assicurarsi che solo gli amministratori autorizzati abbiano accesso ai componenti della rete virtuale utilizzando i controlli di accesso basati sul ruolo. Ad esempio, consentire agli amministratori delle macchine virtuali di accedere solo ai gruppi di porte in cui si trovano le rispettive macchine virtuali. Fornire agli amministratori di rete l'accesso a tutti i componenti della rete virtuale, ma nessun accesso alle macchine virtuali. Limitando l'accesso si riduce il rischio di configurazioni errate, siano esse accidentali o dannose, e si rafforzano i concetti chiave di sicurezza relativi alla separazione dei compiti e ai privilegi minimi.
  • Assicurarsi che i gruppi della porta non siano configurati sul valore della VLAN nativa. I commutatori fisici sono spesso configurati con una VLAN nativa e quella VLAN nativa spesso è VLAN 1 per impostazione predefinita. ESXi non dispone di una VLAN nativa. I frame con VLAN specificata nel gruppo della porta hanno un tag, ma i frame senza VLAN specificata nel gruppo della porta non sono contrassegnati. Questo può causare un problema perché le macchine virtuali contrassegnate con un 1 appartengono alla VLAN nativa del commutatore fisico.

    Ad esempio, i frame sulla VLAN 1 da un commutatore fisico Cisco non hanno alcun tag perché VLAN 1 è la VLAN nativa di tale commutatore fisico. Tuttavia, i frame dell'host ESXi specificati come VLAN 1 sono contrassegnati con 1. Di conseguenza, il traffico proveniente dall'host ESXi destinato alla VLAN nativa non viene instradato correttamente perché è contrassegnato con un 1 anziché essere senza tag. Il traffico proveniente dal commutatore fisico proveniente dalla VLAN nativa non è visibile perché non è contrassegnato. Se il gruppo della porta del commutatore virtuale ESXi utilizza l'ID VLAN nativo, il traffico proveniente dalle macchine virtuali su tale porta non è visibile per la VLAN nativa sul commutatore perché il commutatore prevede traffico non contrassegnato.

  • Verificare che i gruppi della porta non siano configurati sui valori VLAN riservati dai commutatori fisici upstream. I commutatori fisici riservano determinati ID VLAN per scopi interni e spesso non consentono il traffico configurato su questi valori. Ad esempio, i commutatori Cisco Catalyst riservano in genere le VLAN 1001-1024 e 4094. L'utilizzo di una VLAN riservata potrebbe causare una negazione del servizio sulla rete.
  • Assicurarsi che i gruppi della porta non siano configurati sulla VLAN 4095, ad eccezione di Virtual Guest Tagging (VGT). L'impostazione di un gruppo della porta su VLAN 4095 attiva la modalità VGT. In questa modalità, il commutatore virtuale passa tutti i frame di rete alla macchina virtuale senza modificare i tag VLAN, lasciandoli alla macchina virtuale in questione.
  • Sostituzioni della configurazione limitata a livello di porta su un commutatore virtuale distribuito. Le sostituzioni della configurazione a livello di porta sono disattivate per impostazione predefinita. Quando le sostituzioni sono attivate, per una macchina virtuale è possibile utilizzare impostazioni di sicurezza diverse da quelle a livello di gruppo della porta. Alcune macchine virtuali richiedono configurazioni univoche, ma il monitoraggio è essenziale. Se le sostituzioni non sono monitorate, chiunque ottenga l'accesso a una macchina virtuale con una configurazione del commutatore virtuale distribuito meno sicura potrebbe tentare di sfruttare tale accesso.
  • Assicurarsi che il traffico mirror della porta del commutatore virtuale distribuito venga inviato solo alle porte agente di raccolta o alle VLAN autorizzate. Un vSphere Distributed Switch può effettuare il mirroring del traffico da una porta all'altra per consentire ai dispositivi di cattura dei pacchetti di raccogliere flussi di traffico specifici. Il mirroring della porta invia una copia di tutto il traffico specificato in formato non crittografato. Questo traffico sottoposto a mirroring contiene i dati completi nei pacchetti catturati e può causare la compromissione totale di tali dati se reindirizzato erroneamente. Se è necessario effettuare il mirroring della porta, verificare che tutte le VLAN, le porte e gli ID di uplink di destinazione del mirror della porta siano corretti.

Aggiunta di un'etichetta ai componenti di rete di vSphere

L'identificazione dei diversi componenti dell'architettura di rete di vSphere è fondamentale e garantisce che non vengano introdotti errori man mano che la rete si espande.

Seguire queste procedure consigliate:

  • Assicurarsi che i gruppi di porte siano configurati con un'etichetta di rete univoca. Queste etichette fungono da descrittore funzionale per il gruppo di porte e consentono di identificare la funzione di ciascun gruppo di porte man mano che la rete diventa più complessa.
  • Assicurarsi che ogni vSphere Distributed Switch disponga di un'etichetta di rete univoca che indichi la funzione o la subnet IP del commutatore. Questa etichetta funge da descrittore funzionale per il commutatore, proprio come i commutatori fisici richiedono un nome host. Ad esempio, è possibile etichettare il commutatore come interno per indicare che è destinato al networking interno. Non è possibile modificare l'etichetta di un commutatore virtuale standard.

Documentazione e controllo dell'ambiente VLAN di vSphere

Verificare regolarmente l'ambiente VLAN per evitare l'insorgere di problemi. Documentare completamente l'ambiente VLAN e assicurarsi che gli ID VLAN vengano utilizzati una sola volta. La documentazione può essere utile per la risoluzione dei problemi ed è essenziale quando si desidera espandere il proprio ambiente.

Procedura

  1. Assicurarsi che tutti gli ID vSwitch e VLAN siano completamente documentati
    Se si utilizza l'assegnazione di tag VLAN in un commutatore virtuale, gli ID devono corrispondere agli ID dei commutatori upstream esterni basati su VLAN. Se gli ID VLAN non vengono monitorati completamente, un riutilizzo errato di tali ID potrebbe consentire il traffico tra le macchine fisiche e virtuali errate. Allo stesso modo, se gli ID VLAN sono errati o mancanti, il traffico tra le macchine fisiche e virtuali potrebbe essere bloccato nel punto in cui si desidera che passi il traffico.
  2. Assicurarsi che gli ID VLAN per tutti i gruppi di porte virtuali distribuiti (istanze dvPortgroup) siano completamente documentati.
    Se si utilizza l'assegnazione di tag VLAN in un dvPortgroup, gli ID devono corrispondere agli ID dei commutatori upstream esterni basati su VLAN. Se gli ID VLAN non vengono monitorati completamente, un riutilizzo errato di tali ID potrebbe consentire il traffico tra le macchine fisiche e virtuali errate. Allo stesso modo, se gli ID VLAN sono errati o mancanti, il traffico tra le macchine fisiche e virtuali potrebbe essere bloccato nel punto in cui si desidera che passi il traffico.
  3. Assicurarsi che gli ID VLAN privati per tutti i commutatori virtuali distribuiti siano completamente documentati.
    Le VLAN private (PVLAN) per i commutatori virtuali distribuiti richiedono ID VLAN primari e secondari. Questi ID devono corrispondere agli ID dei commutatori upstream esterni basati su PVLAN. Se gli ID VLAN non vengono monitorati completamente, un riutilizzo errato di tali ID potrebbe consentire il traffico tra le macchine fisiche e virtuali errate. Allo stesso modo, se gli ID PVLAN sono errati o mancanti, il traffico tra le macchine fisiche e virtuali potrebbe essere bloccato nel punto in cui si desidera che passi il traffico.
  4. Verificare che i collegamenti trunk VLAN siano connessi solo a porte di commutatori fisici funzionanti come collegamenti trunk.
    Quando si connette un commutatore virtuale a una porta trunk VLAN, è necessario configurare correttamente sia il commutatore virtuale che quello fisico nella porta di uplink. Se il commutatore fisico non è configurato correttamente, i frame con l'intestazione VLAN 802.1q vengono inoltrati a un commutatore che non ne prevede l'arrivo.

Utilizzo di procedure di isolamento della rete in vSphere

Le procedure di isolamento della rete rafforzano la sicurezza della rete nell'ambiente di vSphere.

Isolamento della rete di gestione di vSphere

La rete di gestione di vSphere consente di accedere all'interfaccia di gestione di vSphere in ogni componente. I servizi in esecuzione nell'interfaccia di gestione offrono a un utente malintenzionato l'opportunità di ottenere un accesso privilegiato ai sistemi. Gli attacchi remoti iniziano in genere ottenendo l'accesso a questa rete. Se un utente malintenzionato ottiene l'accesso alla rete di gestione, fornisce il punto di partenza per ulteriori intrusioni.

Controllare in modo rigoroso l'accesso alla rete di gestione proteggendola a livello di sicurezza della macchina virtuale più sicura in esecuzione in un cluster o un host ESXi. Indipendentemente dalle limitazioni della rete di gestione, gli amministratori devono poter accedere a tale rete per configurare gli host ESXi e il sistema di vCenter Server.

Posizionare il gruppo di porte di gestione di vSphere in una VLAN dedicata in un commutatore standard comune. Il traffico di produzione può condividere il commutatore standard se la VLAN del gruppo di porte di gestione di vSphere non è utilizzata dalle macchine virtuali di produzione.

Verificare che il segmento di rete non sia instradato ad alcuna rete, tranne che a quelle in cui si trovano altre entità correlate alla gestione. È opportuno eseguire l'instradamento di un segmento di rete per vSphere Replication. In particolare, assicurarsi che il traffico della macchina virtuale di produzione non possa essere instradato a questa rete.

Controllare rigorosamente l'accesso alle funzionalità di gestione tramite uno degli approcci seguenti.
  • Per accedere alla rete di gestione in ambienti particolarmente sensibili, configurare un gateway controllato o un altro metodo controllato. Ad esempio, richiedere che gli amministratori si connettano alla rete di gestione tramite una VPN. Consentire l'accesso alla rete di gestione solo agli amministratori attendibili.
  • Configurare gli host bastion che eseguono i client di gestione.

Isolamento del traffico di storage

Assicurarsi che il traffico di storage basato su IP sia isolato. Lo storage basato su IP include iSCSI e NFS. Le macchine virtuali possono condividere commutatori virtuali e VLAN con le configurazioni dello storage basato su IP. Questo tipo di configurazione potrebbe esporre il traffico di storage basato su IP a utenti di macchine virtuali non autorizzati.

Lo storage basato su IP spesso non è crittografato. Chiunque abbia accesso a questa rete può visualizzare il traffico di storage basato su IP. Per impedire agli utenti non autorizzati di visualizzare il traffico di storage basato su IP, separare logicamente il traffico della rete di storage basato su IP dal traffico di produzione. Configurare le schede di storage basate su IP in VLAN o segmenti di rete separati dalla rete di gestione di VMkernel in modo da limitare la visualizzazione del traffico da parte di utenti non autorizzati.

Isolamento del traffico di vMotion

Le informazioni sulla migrazione di vMotion vengono trasmesse in testo normale. Queste informazioni possono essere visualizzate da qualsiasi utente che disponga dell'accesso alla rete contenente queste informazioni. Gli utenti potenzialmente malintenzionati possono intercettare il traffico di vMotion per ottenere i contenuti della memoria di una macchina virtuale. Possono inoltre preparare un attacco MITM in cui i contenuti vengano modificati durante la migrazione.

Separare il traffico di vMotion dal traffico di produzione in una rete isolata. Configurare la rete in modo che non possa essere instradata, ovvero assicurarsi che non vi sia alcun router di livello 3 che si estende in questa e in altre reti, in modo da impedire l'accesso esterno alla rete.

Utilizzare una VLAN dedicata in un commutatore standard comune per il gruppo di porte di vMotion. Il traffico di produzione (macchina virtuale) può utilizzare lo stesso commutatore standard se la VLAN del gruppo di porte di vMotion non viene utilizzata dalle macchine virtuali di produzione.

Isolamento del traffico vSAN

Quando si configura la rete vSAN, isolare il traffico vSAN nel segmento di rete di livello 2 corrispondente. È possibile eseguire questo isolamento utilizzando porte o commutatori dedicati oppure mediante una VLAN.

Utilizzo di commutatori virtuali con la vSphere Network Appliance API solo se necessario

Non configurare l'host per l'invio di informazioni di rete a una macchina virtuale, a meno che non si utilizzino prodotti che utilizzano la vSphere Network Appliance API (DvFilter). Se la vSphere Network Appliance API è abilitata, un utente malintenzionato potrebbe tentare di connettere una macchina virtuale al filtro. Tale connessione potrebbe fornire accesso alla rete di altre macchine virtuali sull'host.

Se si utilizza un prodotto che utilizza questa API, verificare che l'host sia configurato correttamente. Vedere le sezioni in DvFilter nella documentazione Sviluppo e distribuzione di soluzioni vSphere, vServices e agenti di ESX. Se l'host è configurato per utilizzare l'API, assicurarsi che il valore del parametro Net.DVFilterBindIpAddress corrisponda al prodotto che utilizza l'API.

Procedura

  1. Passare all'host nell'inventario di vSphere Client.
  2. Fare clic su Configura.
  3. In Sistema, fare clic su Impostazioni di sistema avanzate.
  4. Scorrere verso il basso fino a Net.DVFilterBindIpAddress e verificare che il parametro abbia un valore vuoto.
    L'ordine dei parametri non viene rigorosamente alfabetico. Inserire DVFilter nella casella di testo Filtro per visualizzare tutti i parametri correlati.
  5. Verificare l'impostazione.
    • Se non si utilizzano le impostazioni DvFilter, assicurarsi che il valore sia vuoto.
    • Se si utilizzano le impostazioni DvFilter, assicurarsi che il valore del parametro sia corretto. Il valore deve corrispondere al valore utilizzato dal prodotto che utilizza DvFilter.