管理者は、vSphere 環境で vSphere Distributed Switch を保護するオプションを利用できます。
vSphere Distributed Switch の VLAN には、標準スイッチと同様のルールが適用されます。詳細については、標準スイッチの保護および VLANを参照してください。
手順
- 静的バインドを使用する分散ポート グループの場合は、自動展開機能を無効にします。
vSphere 5.1 以降では、自動展開はデフォルトで有効になっています。
自動展開を無効にするには、vSphere Web Services SDK またはコマンドライン インターフェイスを使用して、分散ポート グループで
autoExpand
プロパティを構成します。
vSphere Web Services SDK のドキュメントを参照してください。
- vSphere Distributed Switch のすべてのプライベート VLAN ID が完全に文書化されていることを確認します。
- dvPortgroup で VLAN タグ付けを使用する場合、VLAN ID は外部 VLAN 対応アップストリーム スイッチの ID に対応している必要があります。VLAN ID が正しく追跡されていない場合、ID が誤って再利用され、意図しないトラフィックが許可されることがあります。同様に、VLAN ID が誤っているか欠落していると、物理マシンと仮想マシン間をトラフィックが失われることがあります。
- vSphere Distributed Switch に関連付けられている仮想ポート グループに未使用のポートが存在しないことを確認します。
- すべての vSphere Distributed Switch にラベルを付けます。
ESXi ホストに関連付けられている vSphere Distributed Switch には、スイッチ名のテキスト ボックスが必要です。このラベルは、物理スイッチに関連付けられているホスト名と同じように、スイッチの機能記述子の役割を果たします。vSphere Distributed Switch のラベルは、スイッチの機能または IP サブネットを示します。たとえば、スイッチに内部というラベルを付けて、それが、仮想マシンのプライベート仮想スイッチ上の内部ネットワーク専用であることを示すことができます。このトラフィックは物理ネットワーク アダプタをしません。
- vSphere Distributed Switch のネットワーク健全性チェックを頻繁に利用しない場合、これを無効にします。
ネットワーク健全性チェックはデフォルトで無効です。有効にすると、攻撃者に使用される可能性のあるホスト、スイッチ、およびポートに関する情報が健全性チェック パケットに含まれるようになります。ネットワーク健全性チェックはトラブルシューティングにのみ使用し、トラブルシューティングが終了したら無効にします。
- ポート グループまたはポートでセキュリティ ポリシーを構成して、なりすましやレイヤー 2 攻撃に対して仮想トラフィックを保護します。
分散ポート グループおよびポートのセキュリティ ポリシーには、次のオプションがあります。
Distributed Switch の右ボタン メニューから
[分散ポート グループの管理] を選択し、ウィザードで
[セキュリティ] を選択すると、現在の設定を表示および変更できます。『
vSphere のネットワーク』を参照してください。