vSphere 환경의 네트워크 보안은 물리적 네트워크 환경을 보호하는 여러 가지 특성을 공유하지만 포함된 일부 특성은 가상 시스템에서만 적용됩니다.

방화벽

일부 또는 전체 가상 시스템에서 호스트 기반 방화벽을 설치하고 구성하여 가상 네트워크에 방화벽 보호 기능을 추가합니다.

효율성을 위해 전용 가상 시스템 이더넷 네트워크 또는 가상 네트워크를 설정할 수 있습니다. 가상 시스템을 구성하는 경우, 가상 네트워크의 맨 앞에 있는 가상 시스템에 호스트 기반 방화벽을 설치합니다. 이 방화벽이 물리적 네트워크 어댑터와 가상 네트워크의 나머지 가상 시스템 사이에서 보호 완충 지대 역할을 하게 됩니다.

호스트 기반 방화벽은 성능을 저하시킬 수 있으므로 가상 네트워크 내의 다른 곳에 위치한 가상 시스템에 호스트 기반 방화벽을 설치하기 전에 먼저 보안 요구 사항과 성능 목표 간의 균형을 고려해야 합니다.

방화벽으로 네트워크 보호 항목을 참조하십시오.

세분화

세분화를 통해 호스트 내에서 서로 다른 네트워크 세그먼트에 서로 다른 가상 시스템 영역을 유지할 수 있습니다. 각 가상 시스템 영역을 고유한 네트워크 세그먼트로 분리하면 한 가상 시스템 영역에서 다른 가상 시스템 영역으로 데이터가 누출될 위험이 최소화됩니다. 세그먼트화는 다양한 위협을 방지합니다. 여기에는 공격자가 ARP(주소 분석 프로토콜) 테이블을 조작하여 MAC 및 IP 주소를 다시 매핑함으로써 호스트에서 들어오고 나가는 네트워크 트래픽에 액세스할 수 있는 ARP 스푸핑 위협이 포함됩니다. 공격자는 ARP 스푸핑을 사용하여 메시지 가로채기(MITM: man-in-the-middle) 공격을 일으키고 DoS(서비스 거부) 공격을 수행하며 대상 시스템을 강탈하고 가상 네트워크를 중단시킵니다.

세그먼트를 세심하게 계획하면 가상 시스템 영역 간의 패킷 전송을 최소화함으로써 공격 대상에 네트워크 트래픽을 보내야 하는 스니핑 공격을 방지할 수 있습니다. 또한 공격자가 한 가상 시스템 영역의 비보안 서비스를 사용하여 호스트 내의 다른 가상 시스템 영역에 액세스할 수 없게 됩니다. 세분화는 두 가지 방식 중 하나로 구현할 수 있으며 각 방식에는 고유한 이점이 있습니다.

  • 가상 시스템 영역에 대해 별도의 물리적 네트워크 어댑터를 사용하여 영역이 분리되도록 합니다. 대개 가상 시스템 영역에 대해 별도의 물리적 네트워크 어댑터를 유지하는 것이 가장 안전한 방법이며 초기 세그먼트 생성 후의 구성 오류를 줄일 수 있는 방법입니다.

  • VLAN(Virtual Local Area Network)을 설정하여 네트워크를 보호할 수 있습니다. VLAN은 물리적으로 분리된 네트워크를 구현하여 얻을 수 있는 거의 모든 보안 이점을 하드웨어 오버헤드 없이 제공하므로 추가 디바이스의 배포 및 유지와 케이블 작업 등에 필요한 비용을 절감할 수 있는 실용적인 솔루션입니다. VLAN으로 가상 시스템 보호 항목을 참조하십시오.

무단 액세스 방지

가상 시스템 네트워크가 물리적 네트워크에 연결되어 있는 경우 물리적 시스템으로 구성된 네트워크와 동일한 침입 위험에 노출될 수 있습니다. 가상 시스템 네트워크가 물리적 네트워크에서 분리된 경우에도 네트워크에 속한 가상 시스템이 네트워크의 다른 가상 시스템으로부터 공격을 받을 수 있습니다. 가상 시스템을 보호하기 위한 요구 사항은 물리적 시스템을 보호하기 위한 요구 사항과 동일한 경우가 많습니다.

가상 시스템은 서로 분리되어 있습니다. 가상 시스템은 다른 가상 시스템에 있는 메모리를 읽거나 쓸 수 없고 데이터에 액세스할 수 없으며 애플리케이션을 사용할 수 없습니다. 하지만 네트워크 내에서는 모든 가상 시스템이나 가상 시스템 그룹이 다른 가상 시스템을 통한 무단 액세스의 대상이 될 수 있으므로 외부적인 수단을 통한 추가적인 보호가 필요할 수 있습니다.