遵循一般網路安全建議是保護網路環境安全的第一步。然後,您可以轉至特別區域,例如使用防火牆保護網路或使用 IPsec。
- 跨距樹狀目錄通訊協定 (STP) 會偵測並阻止在網路拓撲中形成迴圈。VMware 虛擬交換器會以其他方式阻止迴圈,但不直接支援 STP。當網路拓撲發生變更時,網路重新獲知拓撲需要一些時間 (30–50 秒)。在這段時間內,不允許任何流量通過。為了避免這些問題,網路廠商建立了允許交換器連接埠繼續轉送流量的功能。如需詳細資訊,請參閱 VMware 知識庫文章,網址為:https://kb.vmware.com/kb/1003804。請參閱您的網路廠商說明文件,以瞭解適當的網路和網路硬體組態。
- 確保分散式虛擬交換器的 Netflow 流量僅傳送到授權的收集器 IP 位址。Netflow 匯出未加密且可能包含有關虛擬網路的資訊。此資訊增加了攻擊者在傳輸過程中檢視和擷取敏感資訊的可能性。如果需要 Netflow 匯出,請確認所有 Netflow 目標 IP 位址均正確無誤。
- 確保僅授權的管理員可以透過使用角色型存取控制來存取虛擬網路元件。例如,為虛擬機器管理員指定僅存取其虛擬機器所在連接埠群組的權限。為網路管理員指定存取所有虛擬網路元件的權限,但沒有虛擬機器的存取權。有限存取可降低錯誤組態 (無論是意外還是惡意) 的風險,並增強職責分離與最少權限的重要安全性概念。
- 請確保連接埠群組未設定為原生 VLAN 的值。實體交換器通常設有原生 VLAN,依預設,該原生 VLAN 通常為 VLAN 1。ESXi 沒有原生 VLAN。在連接埠群組中指定含 VLAN 的框架有標籤,但未在連接埠群組中指定含 VLAN 的框架不會加上標籤。這可能會產生問題,因為具有標籤 1 的虛擬機器最終會屬於實體交換器的原生 VLAN。
例如,Cisco 實體交換器之 VLAN 1 的框架會取消標籤,因為 VLAN1 是該實體交換器的原生 VLAN。但是,ESXi 主機中指定為 VLAN 1 的框架會加上標籤 1。因此,傳送到原生 VLAN 的 ESXi 主機流量無法正確路由,因為該原生 VLAN 帶有標籤 1,而沒有取消標籤。來自原生 VLAN 的實體交換器流量不可見,因為原生 VLAN 未加上標籤。如果 ESXi 虛擬交換器連接埠群組使用原生 VLAN 識別碼,則來自該連接埠上的虛擬機器的流量對交換器上的原生 VLAN 不可見,因為交換器預期的是取消標籤的流量。
- 請確保連接埠群組未設定為由上游實體交換器保留的 VLAN 值。實體交換器保留某些 VLAN 識別碼用於內部用途,且通常禁止設定為這些值的流量。例如,Cisco Catalyst 交換器通常保留 VLAN 1001–1024 和 4094。使用保留的 VLAN 可能會導致網路上的拒絕服務。
- 請確保連接埠群組未設定為 VLAN 4095,虛擬客體標記 (VGT) 除外。將連接埠群組設定為 VLAN 4095 可啟動 VGT 模式。在此模式下,虛擬交換器會將所有網路框架傳遞到虛擬機器,不需要修改 VLAN 標籤,直接留給虛擬機器處理。
- 在分散式虛擬交換器上限制連接埠層級組態覆寫。連接埠層級組態覆寫預設為停用。啟用覆寫時,您可以使用除連接埠群組層級設定以外的其他虛擬機器安全性設定。某些虛擬機器需要唯一組態,但監控不可或缺。如果不監控覆寫,則可存取含危險分散式虛擬交換器組態之虛擬機器的任何人都可以嘗試利用該存取權。
- 確保分散式虛擬交換器連接埠鏡像流量僅傳送到授權的收集器連接埠或 VLAN。vSphere Distributed Switch 可以將流量從一個連接埠鏡像到另一個連接埠,以允許封包擷取裝置收集特定流量。連接埠鏡像以未加密格式傳送所有指定流量的複本。此鏡像流量包含擷取封包中的完整資料,如果方向錯誤,可能會完全損壞這些資料。如果需要連接埠鏡像,請確認所有連接埠鏡像目的地 VLAN、連接埠和上行識別碼皆正確無誤。