ESXi 호스트의 물리적 스위치를 보호하여 공격자가 호스트 및 해당 가상 시스템에 액세스하지 못하게 방지할 수 있습니다.

호스트를 최대한 보호하려면 스패닝 트리를 사용하지 않도록 설정한 상태에서 물리적 스위치 포트를 구성하고 외부 물리적 스위치와 VST(Virtual Switch Tagging) 모드의 가상 스위치 간 트렁크 링크에 대해 비협상 옵션을 구성해야 합니다.

프로시저

  1. 물리적 스위치에 로그인한 후 스패닝 트리 프로토콜이 사용하지 않도록 설정되어 있거나 ESXi 호스트에 연결된 모든 물리적 스위치 포트에 대해 PortFast가 구성되어 있는지 확인합니다.
  2. 브리징 또는 라우팅을 수행하는 가상 시스템에서 첫 번째 업스트림 물리적 스위치 포트가 BPDU 가드 및 PortFast를 사용하지 않고 스패닝 트리 프로토콜을 사용하도록 구성되어 있는지 주기적으로 확인합니다.
    vSphere 5.1 이상에서 물리적 스위치를 잠재적 DoS(서비스 거부) 공격으로부터 보호하려면 ESXi 호스트에서 게스트 BPDU 필터를 설정할 수 있습니다.
  3. 물리적 스위치에 로그인한 후 ESXi 호스트에 연결된 물리적 스위치 포트에서 DTP(Dynamic Trunking Protocol)가 사용하지 않도록 설정되어 있는지 확인합니다.
  4. 물리적 스위치 포트를 정기적으로 검사하여 가상 스위치 VLAN 트렁킹 포트에 연결되어 있는 경우 트렁크 포트로 올바르게 구성되어 있는지 확인합니다.