네트워킹 보안 모범 사례를 따르면 vSphere 배포의 무결성을 보장할 수 있습니다.
일반 vSphere 네트워킹 보안 권장 사항
vSphere 네트워킹 환경을 보호하기 위한 첫 번째 단계는 일반 네트워크 보안 권장 사항을 따르는 것입니다. 그런 다음 방화벽 또는 IPsec를 사용하는 네트워크 보안과 같은 특수 분야로 나아갈 수 있습니다.
vSphere 네트워킹 환경을 보호하기 위한 권장 사항
- STP(스패닝 트리 프로토콜)는 네트워크 토폴로지에서 루프가 형성되는 것을 감지하고 방지합니다. VMware 가상 스위치는 다른 방식으로 루프를 방지하지만 STP를 직접 지원하지는 않습니다. 네트워크 토폴로지가 변경되면 네트워크가 토폴로지를 재학습하는 동안 약간의 시간(30~50초)이 필요합니다. 이 시간 동안은 어떤 트래픽도 전달할 수 없습니다. 이러한 문제를 방지하기 위해 네트워크 벤더는 스위치 포트를 통해 트래픽을 계속 전달하는 기능을 만들었습니다. 자세한 내용은 https://kb.vmware.com/s/article/1003804에서 VMware 기술 자료 문서를 참조하십시오. 적절한 네트워크 및 네트워킹 하드웨어 구성에 대해서는 네트워크 벤더 설명서를 참조하십시오.
- Distributed Virtual Switch에 대한 Netflow 트래픽이 인증된 수집기 IP 주소로만 전송되는지 확인하십시오. Netflow 내보내기는 암호화되지 않고 가상 네트워크에 대한 정보를 포함할 수 있으며, 이런 정보로 인해 중요한 정보가 전송되는 동안 공격자가 보고 캡처할 수 있는 가능성이 높아집니다. Netflow 내보내기가 필요한 경우 모든 Netflow 대상 IP 주소가 올바른지 확인하십시오.
- 인증된 관리자만 역할 기반 액세스 컨트롤을 사용하여 가상 네트워킹 구성 요소에 액세스할 수 있는지 확인하십시오. 예를 들어 가상 시스템 관리자는 해당 가상 시스템이 있는 포트 그룹에 대해서만 액세스 권한이 있어야 합니다. 네트워크 관리자는 모든 가상 네트워킹 구성 요소에 대한 관리자 액세스 권한이 있어야 하지만 가상 시스템에 대한 액세스 권한은 없어야 합니다. 액세스를 제한하면 실수든 악의적이든 잘못된 구성에 대한 위험이 줄어들고 의무와 최소 권한의 분리라는 핵심 보안 개념이 적용됩니다.
- 포트 그룹이 네이티브 VLAN의 값으로 구성되어 있지 않은지 확인합니다. 물리적 스위치는 주로 네이티브 VLAN으로 구성되며, 이런 네이티브 VLAN은 기본적으로 VLAN 1인 경우가 많습니다. ESXi에는 네이티브 VLAN이 없습니다. VLAN이 포트 그룹에서 지정된 프레임에는 태그가 있지만 VLAN이 포트 그룹에서 지정되지 않은 프레임에는 태그가 지정되지 않습니다. 따라서 태그가 1로 지정된 가상 시스템이 물리적 스위치의 네이티브 VLAN에 속하게 되기 때문에 문제가 발생할 수 있습니다.
예를 들어 Cisco 물리적 스위치의 VLAN 1에 있는 프레임은 VLAN1이 해당 물리적 스위치에서 네이티브 VLAN이기 때문에 태그가 해제됩니다. 그런데 ESXi 호스트에서 VLAN 1로 지정된 프레임에는 태그가 1로 지정됩니다. 결과적으로 태그가 해제되는 대신 1로 지정되었으므로 네이티브 VLAN으로 향하는 ESXi 호스트의 트래픽이 올바르게 라우팅되지 않습니다. 네이티브 VLAN에서 전송되는 물리적 스위치의 트래픽은 태그가 지정되지 않으므로 표시되지 않습니다. ESXi 가상 스위치 포트 그룹이 네이티브 VLAN ID를 사용하는 경우 가상 시스템의 이 포트에서 시작되는 트래픽은 스위치가 태그 해제된 트래픽을 예상하기 때문에 스위치의 네이티브 VLAN에 표시되지 않습니다.
- 포트 그룹이 업스트림 물리적 스위치에 예약된 VLAN 값으로 구성되어 있지 않은지 확인합니다. 물리적 스위치는 내부 용도로 특정 VLAN ID를 예약하며 대개 트래픽이 이러한 값으로 구성되지 못하도록 합니다. 예를 들어 Cisco Catalyst 스위치는 일반적으로 VLAN 1001 - 1024 및 4094를 예약합니다. 예약된 VLAN을 사용하면 네트워크에서 서비스 거부가 발생할 수 있습니다.
- VGT(Virtual Guest Tagging)를 제외하고 포트 그룹이 VLAN 4095로 구성되어 있지 않은지 확인합니다. 포트 그룹을 VLAN 4095로 설정하면 VGT 모드가 활성화됩니다. 이 모드에서는 가상 스위치가 VLAN 태그를 수정하지 않은 채 가상 시스템이 처리하도록 두고 모든 네트워크 프레임을 가상 시스템에 전달합니다.
- Distributed Virtual Switch에서 포트 수준 구성 재정의를 제한합니다. 포트 수준 구성 재정의는 기본적으로 비활성화됩니다. 재정의가 활성화되면 가상 시스템에 대해 포트 그룹 수준 설정과 다른 보안 설정을 사용할 수 있습니다. 특정 가상 시스템에는 고유한 구성이 필요하지만 반드시 모니터링해야 합니다. 재정의를 모니터링하지 않을 경우 보안이 약한 Distributed Virtual Switch 구성을 사용하는 가상 시스템에 대한 액세스 권한을 획득한 모든 사람이 해당 액세스를 악용하려고 할 수 있습니다.
- Distributed Virtual Switch 포트 미러 트래픽이 권한이 있는 수집기 포트 또는 VLAN으로만 전송되는지 확인합니다. vSphere Distributed Switch는 한 포트에서 다른 포트로의 트래픽을 미러링할 수 있으므로 패킷 캡처 디바이스가 특정 트래픽 흐름을 수집할 수 있습니다. 포트 미러링은 모든 지정된 트래픽의 복사본을 암호화되지 않은 형식으로 전송합니다. 이러한 미러링된 트래픽은 캡처된 패킷의 전체 데이터를 포함하므로 잘못 전송될 경우 해당 데이터가 완전히 손상될 수 있습니다. 포트 미러링이 필요할 경우 모든 포트 미러 대상 VLAN, 포트 및 업링크 ID가 올바른지 확인하십시오.
vSphere 네트워킹 구성 요소 레이블 지정
vSphere 네트워킹 아키텍처의 여러 구성 요소 식별은 중요하며 네트워크가 확장될 때 오류가 발생하지 않도록 보장하는 데 도움이 됩니다.
다음 모범 사례를 따르십시오.
- 포트 그룹이 명확한 네트워크 레이블로 구성되었는지 확인합니다. 이러한 레이블은 포트 그룹의 기능 설명자 역할을 하며 네트워크가 더욱 복잡해짐에 따라 각 포트 그룹의 기능을 식별하는 데 도움이 됩니다.
- 각각의 vSphere Distributed Switch에 스위치의 기능 또는 IP 서브넷을 나타내는 명확한 네트워크 레이블이 있는지 확인합니다. 이 레이블은 물리적 스위치에 호스트 이름이 필요한 것과 마찬가지로 스위치의 기능 설명자 역할을 합니다. 예를 들어 스위치의 레이블을 내부로 지정하여 내부 네트워킹용임을 표시할 수 있습니다. 표준 가상 스위치에 대한 레이블은 변경할 수 없습니다.
vSphere VLAN 환경 문서화 및 확인
VLAN 환경을 정기적으로 확인하여 주소 지정 문제를 방지합니다. VLAN 환경을 완전히 문서화하고 VLAN ID가 한 번만 사용되는지 확인합니다. 설명서는 문제 해결에 도움이 될 수 있으며 환경을 확장하려고 할 때 필수적입니다.
프로시저
vSphere의 네트워크 분리 방식 채택
네트워크 분리 방식을 사용하면 vSphere 환경의 네트워크 보안이 강화됩니다.
vSphere 관리 네트워크 분리
vSphere 관리 네트워크는 각 구성 요소의 vSphere 관리 인터페이스에 대한 액세스를 제공합니다. 관리 인터페이스에서 실행 중인 서비스는 공격자가 해당 시스템에 대한 액세스 권한을 얻을 수 있는 기회를 제공합니다. 원격 공격은 이 네트워크에 대한 액세스 획득으로 시작될 가능성이 있습니다. 공격자가 관리 네트워크에 대한 액세스 권한을 얻는 경우 이후 침입을 위한 단계적 토대가 됩니다.
ESXi 호스트 또는 클러스터에서 실행되는 가장 안전한 VM의 보안 수준에서 보호함으로써 관리 네트워크에 대한 액세스를 엄격하게 제어합니다. 관리 네트워크가 제한되는 방식에 관계없이 관리자는 ESXi 호스트 및 vCenter Server 시스템을 구성하기 위해 이 네트워크에 대한 액세스 권한이 있어야 합니다.
공통 표준 스위치의 전용 VLAN에 vSphere 관리 포트 그룹을 배치합니다. vSphere 관리 포트 그룹의 VLAN이 운영 VM에 의해 사용되지 않는 경우 표준 스위치를 운영(VM) 트래픽과 공유할 수 있습니다.
기타 관리 관련 엔티티가 발견된 네트워크를 제외하고, 네트워크 세그먼트가 라우팅되지 않았는지 확인합니다. 네트워크 세그먼트 라우팅은 vSphere Replication에 적절할 수 있습니다. 특히, 이 네트워크에 운영 VM 트래픽을 라우팅할 수 없어야 합니다.
- 특히 중요한 환경에서 관리 네트워크에 액세스하려면 제어된 게이트웨이 또는 기타 제어된 방법을 구성합니다. 예를 들어 관리자가 VPN을 통해 관리 네트워크에 연결하도록 요구하고 신뢰할 수 있는 관리자에게만 관리 네트워크에 대한 액세스를 허용합니다.
- 관리 클라이언트를 실행하는 베스천 호스트를 구성합니다.
스토리지 트래픽 분리
IP 기반 스토리지 트래픽이 분리되었는지 확인합니다. IP 기반 스토리지에는 iSCSI 및 NFS가 포함됩니다. 가상 시스템은 IP 기반 스토리지 구성을 통해 가상 스위치 및 VLAN을 공유할 수 있습니다. 이러한 구성 유형은 IP 기반 스토리지 트래픽을 허용되지 않은 가상 시스템 사용자에게 노출할 수 있습니다.
IP 기반 스토리지는 대개 암호화되어 있지 않습니다. 이 네트워크에 대한 액세스 권한이 있는 사용자면 누구든지 IP 기반 스토리지 트래픽을 볼 수 있습니다. 허용되지 않은 사용자가 IP 기반 스토리지 트래픽을 보지 못하도록 제한하려면 IP 기반 스토리지 네트워크 트래픽을 운영 트래픽과 논리적으로 분리합니다. VMkernel 관리 네트워크와 분리된 VLAN 또는 네트워크 세그먼트에 IP 기반 스토리지 어댑터를 구성하여 허용되지 않은 사용자가 트래픽을 보지 못하도록 제한합니다.
vMotion 트래픽 분리
vMotion 마이그레이션 정보는 일반 텍스트로 전송됩니다. 이 정보가 전송되는 네트워크에 대한 액세스 권한이 있는 사용자면 누구든지 해당 정보를 볼 수 있습니다. 잠재적 공격자는 vMotion 트래픽을 가로채 VM의 메모리 컨텐츠를 얻을 수 있습니다. 또한 마이그레이션 중에 컨텐츠가 수정되는 MITM 공격을 스테이징할 수도 있습니다.
vMotion 트래픽을 분리된 네트워크의 운영 트래픽과 분리합니다. 네트워크를 라우팅할 수 없도록 설정합니다. 즉, 네트워크에 대한 외부 액세스를 방지하기 위해 이 네트워크와 다른 네트워크를 확장하는 계층-3 라우터가 없도록 합니다.
vMotion 포트 그룹에 일반적인 표준 스위치의 전용 VLAN을 사용합니다. vMotion 포트 그룹의 VLAN이 운영 가상 시스템에서 사용되지 않는 경우 동일한 표준 스위치를 운영(VM) 트래픽에서 사용할 수 있습니다.
vSAN 트래픽 분리
vSAN 네트워크를 구성할 때 vSAN 트래픽을 고유한 계층 2 네트워크 세그먼트에서 분리합니다. 전용 스위치 또는 포트를 사용하거나 VLAN을 사용하여 이러한 분리를 수행할 수 있습니다.
필요한 경우에만 vSphere Network Appliance API의 가상 스위치 사용
vSphere Network Appliance API(DvFilter)를 이용하는 제품을 사용하지 않는 경우에는 가상 시스템으로 네트워크 정보를 보내도록 호스트를 구성하지 마십시오. vSphere Network Appliance API가 사용하도록 설정된 경우 공격자가 가상 시스템을 필터에 연결하려고 시도할 수 있으며, 연결되는 경우 공격자가 호스트에 있는 다른 가상 시스템의 네트워크에 액세스할 수 있습니다.
이 API를 이용하는 제품을 사용하는 경우 호스트가 올바르게 구성되어 있는지 확인합니다. 자세한 내용은 "vSphere 솔루션, vService 및 ESX Agent 개발 및 배포" 설명서의 DvFilter 섹션을 참조하십시오. 호스트가 이 API를 사용하도록 설정된 경우 Net.DVFilterBindIpAddress 매개 변수의 값이 이 API를 사용하는 제품과 일치하는지 확인해야 합니다.