La plataforma de virtualización Hyper-V de Microsoft incluye un switch virtual y los administradores de sistemas deberían volcar en él todos sus esfuerzos en términos de seguridad.
Cuando una Máquina Virtual (MV) Hyper-V se conecta a un switch virtual Hyper-V, esa MV recibe y envía tráfico de red desde otras MVs conectadas a ese switch y también a ordenadores remotos y a otro tráfico de red que tiene como destino la MV. Esto es así siempre que la MV y el ordenador remoto pertenezcan a la misma subred.
Hay varios métodos disponibles en Microsoft Hyper-V para aislar un grupo de MVs. Uno de ellos consiste en usar el método VLAN para separar el tráfico de red para un grupo determinado de MVs del de otras MVs conectadas al mismo switch virtual Hyper-V.
El proceso de aislamiento VLAN se utiliza mayormente en entornos de producción. Los proveedores de cloud hosting también están empleando la aproximación VLAN para proveer de aislamiento a MVs clientes. Hay situaciones en las que todavía necesitas bloquear en tráfico de red entrante o saliente a las MVs que residen en la misma VLAN. Por ejemplo, seguro que no te interesa generar tráfico de red innecesario a tus MVs críticas que ejecutan SQL or aplicaciones web.
De la misma manera, en un entorno de producción donde hay unas cuantas MVs que ejecutan aplicaciones de finanzas o recursos humanos, seguro que no te interesa que el departamento de finanzas acceda a las MVs de recursos humanos y viceversa. Esto se puede hacer configurando las MVs en VLANs separadas, pero este proceso requiere bastante tiempo. No sólo necesitas configurar IDs de VLAN para las MVs, también debes asegurarte de que la propia configuración de la VLAN se realiza en los dispositivos de red físicos.
Si os interesa este tema, os dejamos el artículo completo en inglés donde se dan a conocer otros métodos para configurar la seguridad del switch de Hyper-V.
Debe autenticarse para comentar este post