添加到MyLibrary



<提出 新问题


网络隔离做法可大大增强vSphere环境中的网络安全性。

隔离管理网络

通过vSphere管理网络,可以访问每个组件上的vSphere管理界面。在管理界面上运行的服务为攻击者提供了获得对系统的特权访问的机会。远程攻击可能始于获得对该网络的访问权限。如果攻击者获得了对管理网络的访问权限,它将为进一步的入侵提供舞台。

通过在ESXi主机或群集上运行的最安全的VM的安全级别保护管理网络,严格控制对管理网络的访问。无论如何限制管理网络,管理员都必须有权访问该网络以配置ESXi主机和vCenter Server系统。

将vSphere管理端口组放在通用标准交换机上的专用VLAN中。如果生产VM不使用vSphere管理端口组的VLAN,则生产(VM)流量可以共享标准交换机。

检查该网段是否未被路由,除了找到其他与管理相关的实体的网络之外。对于vSphere Replication,路由网段可能很有意义。特别是,请确保生产VM流量不能路由到该网络。



通过使用以下方法之一,严格控制对管理功能的访问。

  • 对于特别敏感的环境,请配置受控网关或其他受控方法来访问管理网络。例如,要求管理员通过VPN连接到管理网络。只允许信任的管理员访问管理网络。
  • 配置运行管理客户端的跳转框。



隔离存储流量

确保隔离基于IP的存储流量。基于IP的存储包括iSCSI和NFS。VM可能会与基于IP的存储配置共享虚拟交换机和VLAN。这种类型的配置可能会将基于IP的存储流量暴露给未经授权的VM用户。

基于IP的存储经常不加密。有权访问此网络的任何人都可以查看基于IP的存储流量。要限制未授权用户查看基于IP的存储流量,请在逻辑上将基于IP的存储网络流量与生产流量分开。在VMkernel管理网络的不同VLAN或网段上配置基于IP的存储适配器,以限制未经授权的用户查看流量。

隔离vMotion流量

vMotion迁移信息以纯文本格式传输。有权访问此信息流经的网络的任何人都可以查看它。潜在的攻击者可以拦截vMotion流量以获得VM的内存内容。他们还可能发动MiTM攻击,在迁移过程中修改内容。

在隔离的网络上将vMotion流量与生产流量分开。将网络设置为不可路由,即,确保没有第3层路由器跨越该网络和其他网络,以防止外部访问该网络。

在通用标准交换机上为vMotion端口组使用专用VLAN。如果生产虚拟机未使用vMotion端口组的VLAN,则生产(VM)流量可以使用同一标准交换机。