遵循網路安全性最佳做法可協助確保 vSphere 部署的完整性。
一般 vSphere 網路安全性建議
遵循一般網路安全建議是保護 vSphere 網路環境的第一步。然後,您可以轉至特別區域,例如使用防火牆保護網路或使用 IPsec。
保護 vSphere 網路環境的建議
- 跨距樹狀目錄通訊協定 (STP) 會偵測並阻止在網路拓撲中形成迴圈。VMware 虛擬交換器會以其他方式阻止迴圈,但不直接支援 STP。當網路拓撲發生變更時,網路重新獲知拓撲需要一些時間 (30–50 秒)。在這段時間內,不允許任何流量通過。為了避免這些問題,網路廠商建立了允許交換器連接埠繼續轉送流量的功能。如需詳細資訊,請參閱 VMware 知識庫文章,網址為:https://kb.vmware.com/s/article/1003804。請參閱您的網路廠商說明文件,以瞭解適當的網路和網路硬體組態。
- 確保分散式虛擬交換器的 Netflow 流量僅傳送到授權的收集器 IP 位址。Netflow 匯出未加密且可能包含有關虛擬網路的資訊。此資訊增加了攻擊者在傳輸過程中檢視和擷取敏感資訊的可能性。如果需要 Netflow 匯出,請確認所有 Netflow 目標 IP 位址均正確無誤。
- 確保僅授權的管理員可以透過使用角色型存取控制來存取虛擬網路元件。例如,為虛擬機器管理員指定僅存取其虛擬機器所在連接埠群組的權限。為網路管理員指定存取所有虛擬網路元件的權限,但沒有虛擬機器的存取權。有限存取可降低錯誤組態 (無論是意外還是惡意) 的風險,並增強職責分離與最少權限的重要安全性概念。
- 請確保連接埠群組未設定為原生 VLAN 的值。實體交換器通常設有原生 VLAN,依預設,該原生 VLAN 通常為 VLAN 1。ESXi 沒有原生 VLAN。在連接埠群組中指定含 VLAN 的框架有標籤,但未在連接埠群組中指定含 VLAN 的框架不會加上標籤。這可能會產生問題,因為具有標籤 1 的虛擬機器最終會屬於實體交換器的原生 VLAN。
例如,Cisco 實體交換器之 VLAN 1 的框架會取消標籤,因為 VLAN1 是該實體交換器的原生 VLAN。但是,ESXi 主機中指定為 VLAN 1 的框架會加上標籤 1。因此,傳送到原生 VLAN 的 ESXi 主機流量無法正確路由,因為該原生 VLAN 帶有標籤 1,而沒有取消標籤。來自原生 VLAN 的實體交換器流量不可見,因為原生 VLAN 未加上標籤。如果 ESXi 虛擬交換器連接埠群組使用原生 VLAN 識別碼,則來自該連接埠上的虛擬機器的流量對交換器上的原生 VLAN 不可見,因為交換器預期的是取消標籤的流量。
- 請確保連接埠群組未設定為由上游實體交換器保留的 VLAN 值。實體交換器保留某些 VLAN 識別碼用於內部用途,且通常禁止設定為這些值的流量。例如,Cisco Catalyst 交換器通常保留 VLAN 1001–1024 和 4094。使用保留的 VLAN 可能會導致網路上的拒絕服務。
- 請確保連接埠群組未設定為 VLAN 4095,虛擬客體標記 (VGT) 除外。將連接埠群組設定為 VLAN 4095 可啟動 VGT 模式。在此模式下,虛擬交換器會將所有網路框架傳遞到虛擬機器,不需要修改 VLAN 標籤,直接留給虛擬機器處理。
- 在分散式虛擬交換器上限制連接埠層級組態覆寫。連接埠層級組態覆寫預設為停用。啟用覆寫時,您可以使用除連接埠群組層級設定以外的其他虛擬機器安全性設定。某些虛擬機器需要唯一組態,但監控不可或缺。如果不監控覆寫,則可存取含危險分散式虛擬交換器組態之虛擬機器的任何人都可以嘗試利用該存取權。
- 確保分散式虛擬交換器連接埠鏡像流量僅傳送到授權的收集器連接埠或 VLAN。vSphere Distributed Switch 可以將流量從一個連接埠鏡像到另一個連接埠,以允許封包擷取裝置收集特定流量。連接埠鏡像以未加密格式傳送所有指定流量的複本。此鏡像流量包含擷取封包中的完整資料,如果方向錯誤,可能會完全損壞這些資料。如果需要連接埠鏡像,請確認所有連接埠鏡像目的地 VLAN、連接埠和上行識別碼皆正確無誤。
標記 vSphere 網路元件
識別 vSphere 網路架構的不同元件至關重要,有助於確保不會隨著網路不斷延伸而引進任何錯誤。
遵循這些最佳做法:
- 確保連接埠群組設定有明確的網路標籤。這些標籤用作連接埠群組的功能性描述元,隨著網路變得日益複雜,協助您識別每個連接埠群組的功能。
- 確保每個 vSphere Distributed Switch 具有明確的網路標籤來指示交換器的功能或 IP 子網路。此標籤用作交換器的功能性描述元,如同實體交換器需要主機名稱。例如,您可以將交換器標示為「內部」以表明其用於內部網路。不可以變更標準虛擬交換器的標籤。
記錄及檢查 vSphere VLAN 環境
請定期檢查您的 VLAN 環境以避免問題發生。完整記錄 VLAN 環境,並確保 VLAN 識別碼僅使用一次。您的說明文件可協助進行疑難排解,且在您想要擴充環境時至關重要。
程序
在 vSphere 中採用網路隔離做法
網路隔離做法可以提高 vSphere 環境的網路安全性。
隔離 vSphere 管理網路
vSphere 管理網路提供在每個元件上存取 vSphere 管理介面的權限。在管理介面上執行的服務為攻擊者提供了獲取系統存取權限的機會。遠端攻擊可能會首先獲取此網路的存取權限。如果攻擊者獲得了管理網路的存取權限,它會提供暫存區域以進一步入侵。
以在 ESXi 主機或叢集上執行的最安全的虛擬機器安全性層級來保護管理網路,從而嚴格控制管理網路的存取權。無論管理網路的受限程度為何,管理員都必須具有此網路的存取權才能設定 ESXi 主機和 vCenter Server 系統。
將 vSphere 管理連接埠群組置於常用標準交換器上的專用 VLAN 中。如果生產虛擬機器未使用 vSphere 管理連接埠群組的 VLAN,生產 (虛擬機器) 流量可以共用標準交換器。
檢查網路區段是否未進行路由,路由至包含其他管理相關項目的網路除外。路由網路區段可能對 vSphere Replication 有意義。尤其確保生產虛擬機器流量無法路由到此網路。
- 若要在特別敏感的環境中存取管理網路,請設定受控閘道或其他受控方法。例如,需要管理員透過 VPN 連線至管理網路。僅允許受信任的管理員存取管理網路。
- 設定執行管理用戶端的堡壘主機。
隔離儲存區流量
確保以 IP 為基礎的儲存區流量已隔離。以 IP 為基礎的儲存區包括 iSCSI 和 NFS。虛擬機器可能會與以 IP 為基礎的儲存區組態共用虛擬交換器和 VLAN。此類型的組態可能會向未經授權的虛擬機器使用者公開以 IP 為基礎的儲存區流量。
以 IP 為基礎的儲存區通常不會加密。任何對此網路具有存取權的人員都可以檢視以 IP 為基礎的儲存區流量。若要限制未經授權的使用者檢視以 IP 為基礎的儲存區流量,請以邏輯方式將以 IP 為基礎的儲存區網路流量與生產流量相區隔。從 VMkernel 管理網路的獨立 VLAN 或網路區段上設定以 IP 為基礎的儲存裝置介面卡,以限制未經授權的使用者檢視流量。
隔離 vMotion 流量
vMotion 移轉資訊以純文字格式進行傳輸。任何對此資訊流經的網路具有存取權的人員都可以進行檢視。潛在攻擊者可能會攔截 vMotion 流量以取得虛擬機器的記憶體內容。他們還可能會暫存移轉期間修改內容的 MITM 攻擊。
在隔離網路上,將 vMotion 流量與生產流量相區隔。將網路設定為不可路由,即確保第 3 層路由器不會跨越此網路和其他網路,從而阻止從外部存取網路。
將常用標準交換器上的專用 VLAN 用於 vMotion 連接埠群組。如果生產虛擬機器不使用 vMotion 連接埠群組的 VLAN,則生產 (虛擬機器) 流量可以使用相同的標準交換器。
隔離 vSAN 流量
設定 vSAN 網路時,請在其自己的第 2 層網路區段上隔離 vSAN 流量。您可以使用專用交換器或連接埠,或使用 VLAN 來執行此隔離。
僅在需要時透過 vSphere Network Appliance API 使用虛擬交換器
不要將主機設定為傳送網路資訊到虛擬機器,除非您正在使用使用了 vSphere Network Appliance API (DvFilter) 的產品。如果 vSphere Network Appliance API 處於啟用狀態,則攻擊者可能會嘗試將虛擬機器連線到篩選器。此連線可能會導致存取主機上的其他虛擬機器網路。
如果您正在使用使用了此 API 的產品,請確認是否已正確設定主機。請參閱《開發和部署 vSphere 解決方案、vService 和 ESX 代理程式》中有關 DvFilter 的章節。如果您的主機設定為使用 API,請確保 Net.DVFilterBindIpAddress 參數的值與使用 API 的產品相符。
