採用音效網路隔離做法可以大幅提高 vSphere 環境的網路安全性。

隔離管理網路

vSphere 管理網路提供在每個元件上存取 vSphere 管理介面的權限。在管理介面上執行的服務為攻擊者提供了獲取系統存取權限的機會。遠端攻擊可能會首先獲取此網路的存取權限。如果攻擊者獲得了管理網路的存取權限,它會提供暫存區域以進一步入侵。

以在 ESXi 主機或叢集上執行之最安全的虛擬機器的安全性層級來保護管理網路,從而嚴格控制管理網路的存取權。無論管理網路的受限程度為何,管理員都必須具有此網路的存取權才能設定 ESXi 主機和 vCenter Server 系統。

將 vSphere 管理連接埠群組置於常用 vSwitch 上的專用 VLAN 中。只要生產虛擬機器未使用 vSphere 管理連接埠群組的 VLAN,vSwitch 就能與生產 (虛擬機器) 流量共用。檢查網路區段是否未進行路由 (可能路由至包含其他管理相關項目的網路除外),例如與 vSphere Replication 一起使用。尤其確保生產虛擬機器流量無法路由到此網路。

使用下列其中一種方法,以嚴格控制的方式啟用管理功能的存取權。

  • 對於特別機密的環境,設定受控閘道或其他受控方法來存取管理網路。例如,要求管理員透過 VPN 連線到管理網路,並且只允許受信任的管理員進行存取。

  • 設定用於執行管理用戶端的跳躍方塊。

隔離儲存區流量

確保以 IP 為基礎的儲存區流量已隔離。以 IP 為基礎的儲存區包括 iSCSI 和 NFS。虛擬機器可能會與以 IP 為基礎的儲存區組態共用虛擬交換器和 VLAN。此類型的組態可能會向未經授權的虛擬機器使用者公開以 IP 為基礎的儲存區流量。

以 IP 為基礎的儲存區通常不會加密;任何具有此網路存取權的人員都可以進行檢視。若要限制未經授權的使用者檢視以 IP 為基礎的儲存區流量,請以邏輯方式將以 IP 為基礎的儲存區網路流量與生產流量相區隔。從 VMkernel 管理網路的獨立 VLAN 或網路區段上設定以 IP 為基礎的儲存裝置介面卡,以限制未經授權的使用者檢視流量。

隔離 VMotion 流量

VMotion 移轉資訊以純文字格式進行傳輸。任何對此資訊流經的網路具有存取權的人員都可以進行檢視。潛在攻擊者可能會攔截 vMotion 流量以取得虛擬機器的記憶體內容。他們還可能會暫存移轉期間修改內容的 MiTM 攻擊。

在隔離網路上,將 VMotion 流量與生產流量相區隔。將網路設定為不可路由,即確保第 3 層路由器不會跨越此網路和其他網路,從而阻止從外部存取網路。

VMotion 連結埠群組應位於常用 vSwitch 上的專用 VLAN 中。只要生產虛擬機器未使用 VMotion 連接埠群組的 VLAN,vSwitch 就能與生產 (虛擬機器) 流量共用。