가상 네트워킹 계층에는 가상 네트워크 어댑터, 가상 스위치, 분산 가상 스위치, 포트 및 포트 그룹이 포함됩니다. ESXi는 가상 시스템과 가상 시스템 사용자 간의 통신을 지원하기 위해 가상 네트워킹 계층에 의존합니다. ESXi 역시 iSCSI SAN, NAS 스토리지 등과 통신하기 위해 가상 네트워킹 계층을 사용합니다.

vSphere에는 보안 네트워킹 인프라에 필요한 전체 기능 어레이가 포함됩니다. 가상 스위치, 분산 가상 스위치, 가상 네트워크 어댑터 등과 같은 각 인프라 요소를 별도로 보호할 수 있습니다. 또한 vSphere 네트워킹 보호에서 보다 자세하게 논의된 다음 지침을 고려하십시오.

네트워크 트래픽 분리

네트워크 트래픽 분리는 ESXi 환경 보호에 필수적입니다. 필요한 액세스 및 분리 수준은 네트워크마다 다릅니다. 관리 네트워크에서는 클라이언트 트래픽, CLI(명령줄 인터페이스) 또는 API 트래픽, 타사 소프트웨어 트래픽을 일반적인 트래픽에서 분리합니다. 이 네트워크에는 시스템 관리자, 네트워크 관리자 및 보안 관리자만 액세스할 수 있어야 합니다.

ESXi 네트워킹 보안 권장 사항를 참조하십시오.

방화벽을 사용하여 가상 네트워크 요소 보호

방화벽 포트를 열고 닫는 것은 물론 가상 네트워크에서 각 요소를 별도로 보호할 수 있습니다. 방화벽 규칙은 서비스를 해당 방화벽과 연결하며 서비스의 상태에 따라 ESXi 방화벽을 열고 닫을 수 있습니다.

ESXi 방화벽 구성를 참조하십시오.

네트워크 보안 정책 고려

네트워킹 보안 정책은 MAC 주소 가장 행위 및 원치 않는 포트 검색으로부터 트래픽을 보호합니다. 표준 스위치 또는 Distributed Switch의 보안 정책은 네트워크 프로토콜 스택의 계층 2(데이터 링크 계층)에서 구현됩니다. 보안 정책의 세 가지 요소는 비규칙(promiscuous) 모드, MAC 주소 변경 및 위조 전송입니다.

지침은 vSphere 네트워킹 설명서를 참조하십시오.

가상 시스템 네트워킹 보호

가상 시스템 네트워크를 보호하기 위해 사용하는 방법은 설치되어 있는 게스트 운영 체제의 종류, 가상 시스템이 신뢰할 수 있는 환경에서 작동하는지 여부 등을 비롯한 다양한 요소에 따라 달라집니다. 가상 스위치 및 분산 가상 스위치는 방화벽 설치와 같은 다른 공통적인 보안 모범 사례와 함께 사용할 경우 상당한 수준의 보호를 제공합니다.

vSphere 네트워킹 보호를 참조하십시오.

환경 보호에 VLAN 고려

ESXi는 IEEE 802.1q VLAN을 지원하며 이를 통해 가상 시스템 네트워크나 스토리지 구성을 추가적으로 보호할 수 있습니다. VLAN을 사용하면 물리적 네트워크를 세그먼트로 나눠 동일한 물리적 네트워크에 있는 두 시스템이 동일한 VLAN에 속하지 않는 한 서로 패킷을 주고받지 못하게 만들 수 있습니다.

VLAN으로 가상 시스템 보호를 참조하십시오.

가상화된 스토리지에 대한 연결 보호

가상 시스템은 운영 체제 파일, 프로그램 파일 및 기타 데이터를 가상 디스크에 저장합니다. 각 가상 디스크는 가상 시스템에 SCSI 컨트롤러에 연결된 SCSI 드라이브로 표시됩니다. 가상 시스템은 스토리지 세부 정보와 분리되었으며 가상 디스크가 상주하는 LUN에 대한 정보에 액세스할 수 없습니다.

VMFS(가상 시스템 파일 시스템)는 가상 볼륨을 ESXi 호스트에 제공하는 분산 파일 시스템 및 볼륨 관리자입니다. 사용자는 스토리지에 대한 연결을 보호할 책임이 있습니다. 예를 들어 iSCSI 스토리지를 사용 중인 경우 CHAP를 사용하도록 환경을 설정하고 회사 정책에 따라 필요한 경우에는 vSphere Web Client 또는 CLI를 사용하여 상호 CHAP를 사용하도록 환경을 설정할 수 있습니다.

스토리지 보안 모범 사례를 참조하십시오.

IPSec의 사용 평가

ESXi는 IPv6을 통한 IPSec을 지원합니다. IPv4를 통한 IPSec은 사용할 수 없습니다.

인터넷 프로토콜 보안를 참조하십시오.

또한 VMware NSX for vSphere가 환경의 네트워킹 계층 보호에 적합한 솔루션인지 평가합니다.