7. Security Considerations (Considérations de sécurité)
Traditionnellement, les réseaux de couche 2 ne peuvent être attaqués que de "l'intérieur" par des points d'extrémité malveillants -- soit en ayant un accès inapproprié à un LAN et en espionnant le trafic, soit en injectant des paquets usurpés pour "prendre le contrôle" d'une autre adresse MAC, soit en inondant et en causant un déni de service. Un mécanisme MAC-over-IP pour fournir du trafic de couche 2 étend considérablement cette surface d'attaque. Cela peut se produire lorsque des malfaiteurs s'injectent dans le réseau en s'abonnant à un ou plusieurs groupes multicast qui transportent le trafic de diffusion pour les segments VXLAN et également en sourçant des trames MAC-over-UDP dans le réseau de transport pour injecter du trafic parasite, éventuellement pour détourner des adresses MAC.
Ce document n'intègre pas de mesures spécifiques contre de telles attaques, s'appuyant plutôt sur d'autres mécanismes traditionnels superposés au-dessus d'IP. Cette section, au lieu de cela, esquisse quelques approches possibles de la sécurité dans l'environnement VXLAN.
Les attaques traditionnelles de couche 2 par des points d'extrémité malveillants peuvent être atténuées en limitant la portée de gestion et administrative de qui déploie et gère les VM/passerelles dans un environnement VXLAN. De plus, de telles mesures administratives peuvent être renforcées par des schémas comme 802.1X [802.1X] pour le contrôle d'admission des points d'extrémité individuels. En outre, l'utilisation de l'encapsulation basée sur UDP de VXLAN permet la configuration et l'utilisation de la fonctionnalité ACL (liste de contrôle d'accès, Access Control List) basée sur le 5-tuple dans les commutateurs physiques.
Le trafic tunnelisé sur le réseau IP peut être sécurisé avec des mécanismes de sécurité traditionnels comme IPsec qui authentifient et chiffrent éventuellement le trafic VXLAN. Cela devra, bien sûr, être couplé avec une infrastructure d'authentification pour que les points d'extrémité autorisés obtiennent et distribuent des identifiants.
Les réseaux de superposition VXLAN sont désignés et exploités sur l'infrastructure LAN existante. Pour garantir que les points d'extrémité VXLAN et leurs VTEP sont autorisés sur le LAN, il est recommandé qu'un VLAN soit désigné pour le trafic VXLAN et que les serveurs/VTEP envoient le trafic VXLAN sur ce VLAN pour fournir une mesure de sécurité.
De plus, VXLAN nécessite un mappage approprié des VNI et de l'appartenance des VM dans ces réseaux de superposition. Il est prévu que ce mappage soit effectué et communiqué à l'entité de gestion sur le VTEP et les passerelles en utilisant des méthodes sécurisées existantes.