가상 네트워킹 계층에는 가상 네트워크 어댑터, 가상 스위치, 분산 가상 스위치, 포트 및 포트 그룹이 포함됩니다. ESXi는 가상 시스템과 가상 시스템 사용자 간의 통신을 지원하기 위해 가상 네트워킹 계층에 의존합니다. 또한 ESXi는 iSCSI SAN, NAS 스토리지 등과 통신하기 위해 가상 네트워킹 계층을 사용합니다.
vSphere에는 보안 네트워킹 인프라에 필요한 전체 기능 어레이가 포함됩니다. 가상 스위치, 분산 가상 스위치, 가상 네트워크 어댑터와 같은 각 인프라 요소를 별도로 보호할 수 있습니다. 또한 vSphere 네트워킹 보호에서 보다 자세하게 논의된 다음 지침을 고려하십시오.
네트워크 트래픽 분리
ESXi 환경의 보안을 유지하기 위해서는 네트워크 트래픽을 분리하는 일이 필수적입니다. 필요한 액세스 및 분리 수준은 네트워크마다 다릅니다. 관리 네트워크에서는 클라이언트 트래픽, CLI(명령줄 인터페이스) 또는 API 트래픽, 타사 소프트웨어 트래픽을 일반적인 트래픽에서 분리합니다. 시스템, 네트워크 및 보안 관리자만 관리 네트워크에 액세스할 수 있는지 확인하십시오.
ESXi 네트워킹 보안 권장 사항의 내용을 참조하십시오.
방화벽을 사용하여 가상 네트워크 요소 보호
방화벽 포트를 열고 닫는 것은 물론 가상 네트워크에서 각 요소를 별도로 보호할 수 있습니다. ESXi 호스트의 경우, 방화벽 규칙은 서비스를 해당 방화벽과 연결하며 서비스의 상태에 따라 방화벽을 열고 닫을 수 있습니다.
또한 vCenter Server 인스턴스의 포트를 명시적으로 열 수 있습니다.
vSphere 및 vSAN을 포함한 VMware 제품의 지원되는 모든 포트 및 프로토콜 목록은 https://ports.vmware.com/에서 VMware Ports and Protocols Tool™을 참조하십시오. VMware 제품별로 포트를 검색하고, 사용자 지정된 포트 목록을 생성하고, 포트 목록을 인쇄하거나 저장할 수 있습니다.
네트워크 보안 정책 고려
네트워크 보안 정책은 MAC 주소 가장 행위 및 원치 않는 포트 검색으로부터 트래픽을 보호합니다. 표준 스위치 또는 Distributed Switch의 보안 정책은 네트워크 프로토콜 스택의 계층 2(데이터 링크 계층)에서 구현됩니다. 보안 정책의 세 가지 요소는 비규칙(promiscuous) 모드, MAC 주소 변경 및 위조 전송입니다.
지침은 "vSphere 네트워킹" 설명서를 참조하십시오.
가상 시스템 네트워킹 보호
- 설치된 게스트 운영 체제
- 가상 시스템이 신뢰할 수 있는 환경에서 작동하는지 여부
vSphere 네트워킹 보호의 내용을 참조하십시오.
환경 보호에 VLAN 고려
ESXi는 IEEE 802.1q VLAN을 지원합니다. VLAN을 사용하면 물리적 네트워크를 세그먼트로 나눌 수 있습니다. VLAN을 사용하여 가상 시스템 네트워크나 스토리지 구성을 추가적으로 보호할 수 있습니다. VLAN을 사용하는 경우 동일한 물리적 네트워크에 있는 두 가상 시스템이 동일한 VLAN에 속하지 않는 한 서로 패킷을 주고받을 수 없습니다.
VLAN으로 가상 시스템 보호의 내용을 참조하십시오.
가상화된 스토리지에 대한 연결 보호
가상 시스템은 운영 체제 파일, 애플리케이션 파일 및 기타 데이터를 가상 디스크에 저장합니다. 각 가상 디스크는 가상 시스템에 SCSI 컨트롤러에 연결된 SCSI 드라이브로 표시됩니다. 가상 시스템은 스토리지 세부 정보와 분리되었으며 가상 디스크가 상주하는 LUN에 대한 정보에 액세스할 수 없습니다.
VMFS(가상 시스템 파일 시스템)는 가상 볼륨을 ESXi 호스트에 제공하는 분산 파일 시스템 및 볼륨 관리자입니다. 사용자는 스토리지에 대한 연결을 보호할 책임이 있습니다. 예를 들어 iSCSI 스토리지를 사용하는 경우 CHAP(Challenge Handshake Authentication Protocol)를 사용하도록 환경을 설정할 수 있습니다. 회사 정책에 따라 필요한 경우 상호 CHAP를 설정할 수 있습니다. CHAP를 설정하려면 vSphere Client 또는 CLI를 사용합니다.
스토리지 보안 모범 사례의 내용을 참조하십시오.
인터넷 프로토콜 보안 사용 평가
ESXi는 IPv6을 통한 IPSec(인터넷 프로토콜 보안)을 지원합니다. IPv4를 통한 IPSec은 사용할 수 없습니다.
ESXi 호스트에서 인터넷 프로토콜 보안 사용의 내용을 참조하십시오.