가상 네트워킹 계층에는 가상 네트워크 어댑터, 가상 스위치, 분산 가상 스위치, 포트 및 포트 그룹이 포함됩니다. ESXi는 VM과 가상 시스템 사용자 간의 통신을 지원하기 위해 가상 네트워킹 계층에 의존합니다. 또한 ESXi는 iSCSI SAN, NAS 스토리지 등과 통신하기 위해 가상 네트워킹 계층을 사용합니다.
vSphere에는 보안 네트워킹 인프라에 필요한 전체 기능 어레이가 포함됩니다. 가상 스위치, 분산 가상 스위치, 가상 네트워크 어댑터와 같은 각 인프라 요소를 별도로 보호할 수 있습니다. 또한 vSphere 네트워킹 보호에서 보다 자세하게 논의된 다음 지침을 고려하십시오.
- 네트워크 트래픽 분리
- ESXi 환경의 보안을 유지하기 위해서는 네트워크 트래픽을 분리하는 일이 필수적입니다. 필요한 액세스 및 분리 수준은 네트워크마다 다릅니다. 관리 네트워크에서는 클라이언트 트래픽, CLI(명령줄 인터페이스) 또는 API 트래픽, 타사 소프트웨어 트래픽을 일반적인 트래픽에서 분리합니다. 시스템, 네트워크 및 보안 관리자만 관리 네트워크에 액세스할 수 있는지 확인하십시오.
- 방화벽을 사용하여 가상 네트워크 요소 보호
- 방화벽 포트를 열고 닫는 것은 물론 가상 네트워크에서 각 요소를 별도로 보호할 수 있습니다. ESXi 호스트의 경우, 방화벽 규칙은 서비스를 해당 방화벽과 연결하며 서비스의 상태에 따라 방화벽을 열고 닫을 수 있습니다.
- 네트워크 보안 정책 고려
- 네트워크 보안 정책은 MAC 주소 가장 행위 및 원치 않는 포트 검색으로부터 트래픽을 보호합니다. 표준 스위치 또는 Distributed Switch의 보안 정책은 네트워크 프로토콜 스택의 계층 2(데이터 링크 계층)에서 구현됩니다. 보안 정책의 세 가지 요소는 비규칙(promiscuous) 모드, MAC 주소 변경 및 위조 전송입니다.
- VM 네트워킹 보호
-
VM 네트워킹을 보호하기 위해 사용하는 방법은 다음을 비롯한 다양한 요소에 따라 결정됩니다.
- 설치된 게스트 운영 체제
- VM이 신뢰할 수 있는 환경에서 작동하는지 여부
- 환경 보호에 VLAN 고려
- ESXi는 IEEE 802.1q VLAN을 지원합니다. VLAN을 사용하면 물리적 네트워크를 세그먼트로 나눌 수 있습니다. VLAN을 사용하여 VM 네트워크나 스토리지 구성을 추가적으로 보호할 수 있습니다. VLAN을 사용하는 경우 동일한 물리적 네트워크에 있는 두 VM이 동일한 VLAN에 속하지 않는 한 서로 패킷을 주고받을 수 없습니다.
- 가상화된 스토리지에 대한 연결 보호
- VM은 운영 체제 파일, 애플리케이션 파일 및 기타 데이터를 가상 디스크에 저장합니다. 각 가상 디스크는 VM에 SCSI 컨트롤러에 연결된 SCSI 드라이브로 표시됩니다. VM은 스토리지 세부 정보와 분리되었으며 가상 디스크가 상주하는 LUN에 대한 정보에 액세스할 수 없습니다.
- IPSec의 사용 평가
- ESXi는 IPv6을 통한 IPSec을 지원합니다. IPv4를 통한 IPSec은 사용할 수 없습니다.