basiczto - Fotolia
Les différentes fonctions de sécurité réseau disponibles dans un commutateur virtuel
Les commutateurs réseau virtuels apportent des fonctionnalités de sécurité spécifiques. Grâce à elle, les administrateurs peuvent créer et faire appliquer des politiques, bloquer des interfaces réseau, ou encore du trafic malicieux entre VM.
Les commutateurs réseau virtuels, comme ceux créés en environnement VMware, apportent plusieurs fonctionnalités de sécurité très utiles. Les administrateurs d’environnements virtualisés ne le savent peut-être pas, mais il est ainsi possible d’appliquer des politiques de sécurité aux ports des commutateurs virtuels. Alors que les ports des commutateurs physiques n'ont aucune idée de la configuration des ports des interfaces réseau physiques qui leur sont connectés, les commutateurs virtuels peuvent détecter celle des ports réseau virtuels qui leur sont connectés. Les administrateurs peuvent ainsi créer et appliquer des politiques aidant à maintenir leur posture de sécurité.
Par exemple, un commutateur virtuel peut empêcher une machine virtuelle invitée de modifier son adresse MAC, signe courant d'activité malveillante.
La politique de sécurité pour le mode de proximité est définie au niveau du commutateur virtuel ou du groupe de ports.
Lorsqu’il est activé, le mode de promiscuité permet de voir tout le trafic réseau unicast traversant un commutateur virtuel. Comme ce comportement n'est pas souhaitable pour la sécurité, ce mode de fonctionnement est désactivé par défaut : une machine virtuelle ne voit que les paquets qui lui sont adressés. La politique de sécurité pour le mode de promiscuité est définie au niveau du commutateur virtuel ou du groupe de ports.
Verrouiller une adresse MAC
Une autre des précieuses fonctions de sécurité réseau associées aux commutateurs virtuels est le verrouillage d’adresses MAC. Une adresse MAC représente l'identifiant physique permanent de chaque périphérique réseau.
Les adresses MAC sont attribuées aux machines virtuelles dans le cadre de leur configuration réseau, mais elles peuvent être modifiées assez facilement dans les machines virtuelles. Mais ceci n'est pas souhaitable et peut être le signe d'une activité malveillante. Verrouiller l'adresse MAC empêche cela.
Bloquer le trafic venant de machines virtuelles
Enfin, les commutateurs virtuels peuvent bloquer le trafic contrefait provenant des machines virtuelles. Normalement, un périphérique réseau - tel qu'un commutateur virtuel - ne compare pas les adresses MAC dans les paquets IP avec l'adresse MAC du périphérique émetteur pour s'assurer qu'elles correspondent. Cela peut permettre l'envoi de trafic malveillant en utilisant des tactiques telles que l'usurpation d'adresse MAC. Lorsque le commutateur virtuel compare les adresses MAC, il peut bloquer le trafic contrefait.