vSphere 環境中的網路安全性不僅具有保護實體網路環境的許多特性,而且具有一些僅適用於虛擬機器的特性。
防火牆
為虛擬網路新增防火牆保護,方法是在其中的部分或所有虛擬機器上安裝和設定以主機為基礎的防火牆。
為提高效率,您可以設定私人虛擬機器乙太網路或虛擬網路。有了虛擬網路,您可以在虛擬網路最前面的虛擬機器上安裝以主機為基礎的防火牆。此防火牆可以用作實體網路介面卡和虛擬網路中剩餘虛擬機器之間的保護緩衝區。
以主機為基礎的防火牆可能會降低效能。請先根據效能目標平衡安全性需求,然後在虛擬網路中的其他虛擬機器上安裝以主機為基礎的防火牆。
請參閱使用防火牆確保網路安全。
分割
將主機中的不同虛擬機器區域置於不同網路區段。如果將每個虛擬機器區域隔離在各自的網路區段中,可以大大降低區域之間洩漏資料的風險。分割可防止多種威脅,包括位址解析通訊協定 (ARP) 詐騙。使用 ARP 詐騙,攻擊者可操縱 ARP 資料表以重新對應 MAC 和 IP 位址,從而存取進出主機的網路流量。攻擊者使用 ARP 詐騙產生攔截式 (MITM) 攻擊、執行拒絕服務 (DoS) 攻擊、劫持目標系統,並以其他方式破壞虛擬網路。
仔細規劃分割可減少虛擬機器區域之間封包傳輸的機會。因此,分割可防止嗅探攻擊 (嗅探攻擊需向受害者傳送網路流量)。此外,攻擊者無法使用一個虛擬機器區域中的不安全服務存取主機中的其他虛擬機器區域。可以使用兩種方法之一實作分割。
- 為虛擬機器區域使用單獨的實體網路介面卡,確保已將區域隔離。為虛擬機器區域使用單獨的實體網路介面卡可能是最安全的方法。在建立初始區段之後,此方法更不容易出現錯誤組態。
- 設定虛擬區域網路 (VLAN),協助保護網路。VLAN 幾乎能夠提供實際實作單獨網路所具有的所有安全性優點,且不增加硬體額外負荷。VLAN 可為您節省部署和維護其他裝置、纜線等成本。請參閱透過 VLAN 保護虛擬機器的安全。
防止未經授權的存取
- 如果將虛擬機器網路連線到實體網路,將會遭到破壞,就像由實體機器組成的網路一樣。
- 即使沒有將虛擬機器連線到實體網路,虛擬機器也可能會遭到其他虛擬機器攻擊。
虛擬機器之間相互隔離。一個虛擬機器無法讀取或寫入另一個虛擬機器的記憶體、無法存取其資料、無法使用其應用程式等等。但是,在網路中,任何虛擬機器或虛擬機器群組仍可能遭到其他虛擬機器的未經授權存取。保護您的虛擬機器免受此類未經授權的存取。
如需有關保護虛擬機器的其他資訊,請參閱標題為「虛擬機器 (VM) 保護的安全虛擬網路組態」的 NIST 文件,網址為: