網路隔離做法可以提高 vSphere 環境的網路安全性。
隔離管理網路
vSphere 管理網路提供在每個元件上存取 vSphere 管理介面的權限。在管理介面上執行的服務為攻擊者提供了獲取系統存取權限的機會。遠端攻擊可能會首先獲取此網路的存取權限。如果攻擊者獲得了管理網路的存取權限,它會提供暫存區域以進一步入侵。
以在ESXi主機或叢集上執行的最安全的虛擬機器安全性層級來保護管理網路,從而嚴格控制管理網路的存取權。無論管理網路的受限程度為何,管理員都必須具有此網路的存取權才能設定 ESXi主機和 vCenter Server 系統。
將 vSphere 管理連接埠群組置於常用標準交換器上的專用 VLAN 中。如果生產虛擬機器未使用 vSphere 管理連接埠群組的 VLAN,生產 (虛擬機器) 流量可以共用標準交換器。
檢查網路區段是否未進行路由,路由至包含其他管理相關項目的網路除外。路由網路區段可能對 vSphere Replication 有意義。尤其確保生產虛擬機器流量無法路由到此網路。
- 若要在特別敏感的環境中存取管理網路,請設定受控閘道或其他受控方法。例如,需要管理員透過 VPN 連線至管理網路。僅允許受信任的管理員存取管理網路。
- 設定執行管理用戶端的堡壘主機。
隔離儲存區流量
確保以 IP 為基礎的儲存區流量已隔離。以 IP 為基礎的儲存區包括 iSCSI 和 NFS。虛擬機器可能會與以 IP 為基礎的儲存區組態共用虛擬交換器和 VLAN。此類型的組態可能會向未經授權的虛擬機器使用者公開以 IP 為基礎的儲存區流量。
以 IP 為基礎的儲存區通常不會加密。任何對此網路具有存取權的人員都可以檢視以 IP 為基礎的儲存區流量。若要限制未經授權的使用者檢視以 IP 為基礎的儲存區流量,請以邏輯方式將以 IP 為基礎的儲存區網路流量與生產流量相區隔。從 VMkernel 管理網路的獨立 VLAN 或網路區段上設定以 IP 為基礎的儲存裝置介面卡,以限制未經授權的使用者檢視流量。
隔離 vMotion 流量
vMotion 移轉資訊以純文字格式進行傳輸。任何對此資訊流經的網路具有存取權的人員都可以進行檢視。潛在攻擊者可能會攔截 vMotion 流量以取得虛擬機器的記憶體內容。他們還可能會暫存移轉期間修改內容的 MiTM 攻擊。
在隔離網路上,將 vMotion 流量與生產流量相區隔。將網路設定為不可路由,即確保第 3 層路由器不會跨越此網路和其他網路,從而阻止從外部存取網路。
將常用標準交換器上的專用 VLAN 用於 vMotion 連接埠群組。如果生產虛擬機器不使用 vMotion 連接埠群組的 VLAN,則生產 (虛擬機器) 流量可以使用相同的標準交換器。
隔離 vSAN 流量
設定 vSAN 網路時,請在其自己的第 2 層網路區段上隔離 vSAN 流量。您可以使用專用交換器或連接埠,或使用 VLAN 來執行此隔離。