네트워킹 환경을 보호하기 위한 첫 번째 단계는 일반 네트워크 보안 권장 사항을 따르는 것입니다. 그런 다음 방화벽 또는 IPsec를 사용하는 네트워크 보안과 같은 특수 분야로 나아갈 수 있습니다.
- STP(스패닝 트리 프로토콜)는 네트워크 토폴로지에서 루프가 형성되는 것을 감지하고 방지합니다. VMware 가상 스위치는 다른 방식으로 루프를 방지하지만 STP를 직접 지원하지는 않습니다. 네트워크 토폴로지가 변경되면 네트워크가 토폴로지를 재학습하는 동안 약간의 시간(30~50초)이 필요합니다. 이 시간 동안은 어떤 트래픽도 전달할 수 없습니다. 이러한 문제를 방지하기 위해 네트워크 벤더는 스위치 포트를 사용하도록 설정하여 트래픽을 계속 전달하는 기능을 생성했습니다. 자세한 내용은 https://kb.vmware.com/kb/1003804에서 VMware 기술 자료 문서를 참조하십시오. 적절한 네트워크 및 네트워킹 하드웨어 구성에 대해서는 네트워크 벤더 설명서를 참조하십시오.
- Distributed Virtual Switch에 대한 Netflow 트래픽이 인증된 수집기 IP 주소로만 전송되는지 확인하십시오. Netflow 내보내기는 암호화되지 않고 가상 네트워크에 대한 정보를 포함할 수 있으며, 이런 정보로 인해 중요한 정보가 전송되는 동안 공격자가 보고 캡처할 수 있는 가능성이 높아집니다. Netflow 내보내기가 필요한 경우 모든 Netflow 대상 IP 주소가 올바른지 확인하십시오.
- 인증된 관리자만 역할 기반 액세스 컨트롤을 사용하여 가상 네트워킹 구성 요소에 액세스할 수 있는지 확인하십시오. 예를 들어 가상 시스템 관리자는 해당 가상 시스템이 있는 포트 그룹에 대해서만 액세스 권한이 있어야 합니다. 네트워크 관리자는 모든 가상 네트워킹 구성 요소에 대한 관리자 액세스 권한이 있어야 하지만 가상 시스템에 대한 액세스 권한은 없어야 합니다. 액세스를 제한하면 실수든 악의적이든 잘못된 구성에 대한 위험이 줄어들고 의무와 최소 권한의 분리라는 핵심 보안 개념이 적용됩니다.
- 포트 그룹이 네이티브 VLAN의 값으로 구성되어 있지 않은지 확인합니다. 물리적 스위치는 주로 네이티브 VLAN으로 구성되며, 이런 네이티브 VLAN은 기본적으로 VLAN 1인 경우가 많습니다. ESXi에는 네이티브 VLAN이 없습니다. VLAN이 포트 그룹에서 지정된 프레임에는 태그가 있지만 VLAN이 포트 그룹에서 지정되지 않은 프레임에는 태그가 지정되지 않습니다. 따라서 태그가 1로 지정된 가상 시스템이 물리적 스위치의 네이티브 VLAN에 속하게 되기 때문에 문제가 발생할 수 있습니다.
예를 들어 Cisco 물리적 스위치의 VLAN 1에 있는 프레임은 VLAN1이 해당 물리적 스위치에서 네이티브 VLAN이기 때문에 태그가 해제됩니다. 그런데 ESXi 호스트에서 VLAN 1로 지정된 프레임에는 태그가 1로 지정됩니다. 결과적으로 태그가 해제되는 대신 1로 지정되었으므로 네이티브 VLAN으로 향하는 ESXi 호스트의 트래픽이 올바르게 라우팅되지 않습니다. 네이티브 VLAN에서 전송되는 물리적 스위치의 트래픽은 태그가 지정되지 않으므로 표시되지 않습니다. ESXi 가상 스위치 포트 그룹이 네이티브 VLAN ID를 사용하는 경우 가상 시스템의 이 포트에서 시작되는 트래픽은 스위치가 태그 해제된 트래픽을 예상하기 때문에 스위치의 네이티브 VLAN에 표시되지 않습니다.
- 포트 그룹이 업스트림 물리적 스위치에 예약된 VLAN 값으로 구성되어 있지 않은지 확인합니다. 물리적 스위치는 내부 용도로 특정 VLAN ID를 예약하며 대개 트래픽이 이러한 값으로 구성되지 못하도록 합니다. 예를 들어 Cisco Catalyst 스위치는 일반적으로 VLAN 1001 - 1024 및 4094를 예약합니다. 예약된 VLAN을 사용하면 네트워크에서 서비스 거부가 발생할 수 있습니다.
- VGT(Virtual Guest Tagging)를 제외하고 포트 그룹이 VLAN 4095로 구성되어 있지 않은지 확인합니다. 포트 그룹을 VLAN 4095로 설정하면 VGT 모드가 활성화됩니다. 이 모드에서는 가상 스위치가 VLAN 태그를 수정하지 않은 채 가상 시스템이 처리하도록 두고 모든 네트워크 프레임을 가상 시스템에 전달합니다.
- Distributed Virtual Switch에서 포트 수준 구성 재정의를 제한합니다. 포트 수준 구성 재정의는 기본적으로 사용하지 않도록 설정됩니다. 재정의를 사용하도록 설정한 경우 가상 시스템에 대해 포트 그룹 수준 설정과 다른 보안 설정을 사용할 수 있습니다. 특정 가상 시스템에는 고유한 구성이 필요하지만 반드시 모니터링해야 합니다. 재정의를 모니터링하지 않을 경우 보안이 약한 Distributed Virtual Switch 구성을 사용하는 가상 시스템에 대한 액세스 권한을 획득한 모든 사람이 해당 액세스를 악용하려고 할 수 있습니다.
- Distributed Virtual Switch 포트 미러 트래픽이 권한이 있는 수집기 포트 또는 VLAN으로만 전송되는지 확인합니다. vSphere Distributed Switch는 한 포트에서 다른 포트로의 트래픽을 미러링할 수 있으므로 패킷 캡처 디바이스가 특정 트래픽 흐름을 수집할 수 있습니다. 포트 미러링은 모든 지정된 트래픽의 복사본을 암호화되지 않은 형식으로 전송합니다. 이러한 미러링된 트래픽은 캡처된 패킷의 전체 데이터를 포함하므로 잘못 전송될 경우 해당 데이터가 완전히 손상될 수 있습니다. 포트 미러링이 필요할 경우 모든 포트 미러 대상 VLAN, 포트 및 업링크 ID가 올바른지 확인하십시오.