如今大多數組織都在利用虛擬化來運行生產工作負載。從安全角度來看,虛擬化需要在多個層面進行適當的設計和工程設計。對於使用vSphere的VMware虛擬化,需要考慮多個層以確保有效的安全狀態。
在這篇文章中,我們將看一下虛擬網絡層,看看在這一層可以做些什麼來保護虛擬環境。
我們來看一下保護VMware vSphere網絡層,看看如何有效地完成這項工作。
什麼是虛擬網絡層?
VMware vSphere虛擬網絡層包含虛擬網絡適配器,虛擬交換機或vSwitch,分佈式虛擬交換機或DVS,端口和端口組。vSphere ESXi使用此虛擬網絡層實現從OSI堆棧到最終用戶及其應用程序的從虛擬層到物理網絡層的通信。另外,虛擬網絡層允許與諸如iSCSI SAN,NAS存儲等存儲設備通信。
ESXi虛擬機管理程序包括極其安全的虛擬網絡功能,可在正確配置時實現非常安全的網絡通信。此外,它允許對上面列出的組件的虛擬網絡層的每個元素進行粒度控制。
除了支持安全虛擬網絡通信的ESXi虛擬機管理程序和虛擬網絡層構造的安全特性之外,還有其他最佳實踐可以保護vSphere網絡層。
vSphere虛擬網絡層安全性最佳實踐
有關保護VMware vSphere網絡及其中的各種組件的許多最佳實踐。
讓我們來看看有助於在VMware vSphere環境中保護虛擬網絡層的以下配置和最佳實踐。
- 隔離網絡流量
- 使用防火牆保護虛擬網絡元素
- 考慮網絡安全策略
- 安全的VM網絡
- 使用VLAN來保護虛擬網絡
- 與虛擬存儲保護網絡通信
- 儘可能使用IPSec
我們將進一步瞭解上述每種安全機制,以瞭解它們如何幫助保護生產工作負載的VMware vSphere虛擬網絡。
隔離網絡流量
在任何網絡上,通常有不同類型的流量遍歷該網絡。根據流量類型隔離網絡流量是在網絡上創建良好安全邊界的重要通用指南。通常,這是通過為各種流量使用VLAN和不同子網來實現的。
在虛擬環境中,該指南也適用。在任何VMware vSphere環境中,與配置的計算,存儲和網絡進行正確通信都需要許多不同類型的流量。通常,您在常規vSphere安裝中具有管理,存儲,vMotion和VM網絡流量。此外,在VM網絡流量領域,可能存在許多不同類型的工作負載需要使用不同的網段,虛擬交換機,VLAN,子網等彼此隔離。
使用防火牆保護虛擬網絡元素
保護網絡的常用方法之一是使用防火牆來過濾流量。可以在整個VMware vSphere環境中使用防火牆。防火牆可用於過濾VM網絡流量。此外,ESXi主機本身具有內置防火牆功能,允許允許或禁止與某些端口,IP地址等的通信.VMware vCenter Server還具有允許通過防火牆機制進行通信的功能。所有這些功能都可以保護虛擬網絡層的網絡流量。
考慮網絡安全策略
內置的VMware vSphere虛擬交換機(包括標準vSwitch和分佈式vSwitch)能夠保護流量免受惡意端口掃描,MAC地址模擬等惡意活動的影響。在虛擬交換機層實現的安全策略是第2層構造,它具有三個組件:混雜模式,MAC地址更改和偽造傳輸。
安全的VM網絡
在考慮在VMware vSphere環境中運行的虛擬機時,可以使用許多功能來保護虛擬網絡流量。這些包括我們在虛擬交換機層提到的許多功能。此外,虛擬機的客戶操作系統還可用於使用內置防火牆和其他安全功能(例如可阻止或允許某些類型的流量的Windows防火牆)來過濾流量。與默認的VMware vSphere安全機制結合使用,可以為在vSphere之上運行的客戶機操作系統增加強大的整體安全性。
使用VLAN保護虛擬網絡
組網中的VLAN構造由802.1q IEEE標準定義,該標準用於將物理網絡分段為不同的廣播域。VLAN標記添加到數據包標頭,僅允許具有相同VLAN標記的VM之間的通信。因此,通過對每個VM使用不同的VLAN,可以將兩個不同的VM彼此隔離。這提供了一種分割和隔離各種流量的有效方法。VMware vSphere虛擬網絡堆棧完全支持802.1q,因此您可以在整個過程中使用VLAN。這可以在物理交換機端口,虛擬交換機端口或VLAN guest標記處完成。
安全的虛擬存儲網絡流量
虛擬存儲是實際數據駐留在VMware vSphere內部運行的虛擬機的位置。這由駐留在LUN頂部的VMFS文件系統執行。如果攻擊者破壞了虛擬存儲,他們就可以訪問基礎架構的核心 - 您的數據。通過使用不同的技術,例如在不同的物理和邏輯網絡上隔離存儲流量以及在iSCSI環境中使用CHAP身份驗證,可以有效地保護存儲網絡。
儘可能使用IPSec
IPSec是Internet協議安全性,是一種網絡安全機制,用於對通過IP網絡發送的數據包進行身份驗證和加密。IPSec在某些網段中可能不可行或甚至不可能,但是,當安全性是必須的時,應考慮使用IPSec以提供最安全的通信。與列出的所有其他機制和技術結合使用,可以幫助確保網絡通信儘可能安全。
寫在最後的話
保護VMware vSphere網絡層是VMware vSphere管理的重要組成部分。今天的網絡和基礎設施將安全作為運營目標的重中之重。VMware vSphere內置了許多默認機制,可實現有效的安全性。通過在vSphere中實施的虛擬網絡層內部使用不同技術,可以在整個VMware vSphere環境中實施各種安全層。從vCenter Server,ESXi,虛擬交換機一直到VM內運行的客戶機操作系統,都可以有效地實現安全性。通過使用各種構造(如VLAN,CHAP和IPSec),組織可以實施極其安全的環境,以滿足大多數(如果不是全部)合規性和聽auditory要求。
