隔離管理網路

vSphere 管理網路提供在每個元件上存取 vSphere 管理介面的權限。在管理介面上執行的服務為攻擊者提供了獲取系統存取權限的機會。遠端攻擊可能會首先獲取此網路的存取權限。如果攻擊者獲得了管理網路的存取權限，它會提供暫存區域以進一步入侵。

以在ESXi主機或叢集上執行的最安全的虛擬機器安全性層級來保護管理網路，從而嚴格控制管理網路的存取權。無論管理網路的受限程度為何，管理員都必須具有此網路的存取權才能設定 ESXi主機和 vCenter Server 系統。

將 vSphere 管理連接埠群組置於常用標準交換器上的專用 VLAN 中。如果生產虛擬機器未使用 vSphere 管理連接埠群組的 VLAN，生產 (虛擬機器) 流量可以共用標準交換器。

檢查網路區段是否未進行路由，路由至包含其他管理相關項目的網路除外。路由網路區段可能對 vSphere Replication 有意義。尤其確保生產虛擬機器流量無法路由到此網路。

隔離儲存區流量

確保以 IP 為基礎的儲存區流量已隔離。以 IP 為基礎的儲存區包括 iSCSI 和 NFS。虛擬機器可能會與以 IP 為基礎的儲存區組態共用虛擬交換器和 VLAN。此類型的組態可能會向未經授權的虛擬機器使用者公開以 IP 為基礎的儲存區流量。

以 IP 為基礎的儲存區通常不會加密。任何對此網路具有存取權的人員都可以檢視以 IP 為基礎的儲存區流量。若要限制未經授權的使用者檢視以 IP 為基礎的儲存區流量，請以邏輯方式將以 IP 為基礎的儲存區網路流量與生產流量相區隔。從 VMkernel 管理網路的獨立 VLAN 或網路區段上設定以 IP 為基礎的儲存裝置介面卡，以限制未經授權的使用者檢視流量。

隔離 vMotion 流量

vMotion 移轉資訊以純文字格式進行傳輸。任何對此資訊流經的網路具有存取權的人員都可以進行檢視。潛在攻擊者可能會攔截 vMotion 流量以取得虛擬機器的記憶體內容。他們還可能會暫存移轉期間修改內容的 MiTM 攻擊。

在隔離網路上，將 vMotion 流量與生產流量相區隔。將網路設定為不可路由，即確保第 3 層路由器不會跨越此網路和其他網路，從而阻止從外部存取網路。

將常用標準交換器上的專用 VLAN 用於 vMotion 連接埠群組。如果生產虛擬機器不使用 vMotion 連接埠群組的 VLAN，則生產 (虛擬機器) 流量可以使用相同的標準交換器。

隔離 vSAN 流量

設定 vSAN 網路時，請在其自己的第 2 層網路區段上隔離 vSAN 流量。您可以使用專用交換器或連接埠，或使用 VLAN 來執行此隔離。