네트워크 트래픽 분리

ESXi 환경의 보안을 유지하기 위해서는 네트워크 트래픽을 분리하는 일이 필수적입니다. 필요한 액세스 및 분리 수준은 네트워크마다 다릅니다. 관리 네트워크에서는 클라이언트 트래픽, CLI(명령줄 인터페이스) 또는 API 트래픽, 타사 소프트웨어 트래픽을 일반적인 트래픽에서 분리합니다. 시스템, 네트워크 및 보안 관리자만 관리 네트워크에 액세스할 수 있는지 확인하십시오.

ESXi 네트워킹 보안 권장 사항의 내용을 참조하십시오.

방화벽을 사용하여 가상 네트워크 요소 보호

방화벽 포트를 열고 닫는 것은 물론 가상 네트워크에서 각 요소를 별도로 보호할 수 있습니다. ESXi 호스트의 경우, 방화벽 규칙은 서비스를 해당 방화벽과 연결하며 서비스의 상태에 따라 방화벽을 열고 닫을 수 있습니다.

또한 vCenter Server 인스턴스의 포트를 명시적으로 열 수 있습니다.

vSphere 및 vSAN을 포함한 VMware 제품의 지원되는 모든 포트 및 프로토콜 목록은 https://ports.vmware.com/에서 VMware Ports and Protocols Tool™을 참조하십시오. VMware 제품별로 포트를 검색하고, 사용자 지정된 포트 목록을 생성하고, 포트 목록을 인쇄하거나 저장할 수 있습니다.

네트워크 보안 정책 고려

네트워크 보안 정책은 MAC 주소 가장 행위 및 원치 않는 포트 검색으로부터 트래픽을 보호합니다. 표준 스위치 또는 Distributed Switch의 보안 정책은 네트워크 프로토콜 스택의 계층 2(데이터 링크 계층)에서 구현됩니다. 보안 정책의 세 가지 요소는 비규칙(promiscuous) 모드, MAC 주소 변경 및 위조 전송입니다.

지침은 "vSphere 네트워킹" 설명서를 참조하십시오.

가상 시스템 네트워킹 보호

vSphere 네트워킹 보호의 내용을 참조하십시오.

환경 보호에 VLAN 고려

ESXi는 IEEE 802.1q VLAN을 지원합니다. VLAN을 사용하면 물리적 네트워크를 세그먼트로 나눌 수 있습니다. VLAN을 사용하여 가상 시스템 네트워크나 스토리지 구성을 추가적으로 보호할 수 있습니다. VLAN을 사용하는 경우 동일한 물리적 네트워크에 있는 두 가상 시스템이 동일한 VLAN에 속하지 않는 한 서로 패킷을 주고받을 수 없습니다.

VLAN으로 가상 시스템 보호의 내용을 참조하십시오.

가상화된 스토리지에 대한 연결 보호

가상 시스템은 운영 체제 파일, 애플리케이션 파일 및 기타 데이터를 가상 디스크에 저장합니다. 각 가상 디스크는 가상 시스템에 SCSI 컨트롤러에 연결된 SCSI 드라이브로 표시됩니다. 가상 시스템은 스토리지 세부 정보와 분리되었으며 가상 디스크가 상주하는 LUN에 대한 정보에 액세스할 수 없습니다.

VMFS(가상 시스템 파일 시스템)는 가상 볼륨을 ESXi 호스트에 제공하는 분산 파일 시스템 및 볼륨 관리자입니다. 사용자는 스토리지에 대한 연결을 보호할 책임이 있습니다. 예를 들어 iSCSI 스토리지를 사용하는 경우 CHAP(Challenge Handshake Authentication Protocol)를 사용하도록 환경을 설정할 수 있습니다. 회사 정책에 따라 필요한 경우 상호 CHAP를 설정할 수 있습니다. CHAP를 설정하려면 vSphere Client 또는 CLI를 사용합니다.

스토리지 보안 모범 사례의 내용을 참조하십시오.

인터넷 프로토콜 보안 사용 평가

ESXi는 IPv6을 통한 IPSec(인터넷 프로토콜 보안)을 지원합니다. IPv4를 통한 IPSec은 사용할 수 없습니다.

ESXi 호스트에서 인터넷 프로토콜 보안 사용의 내용을 참조하십시오.