Passa al contenuto principale

7. Security Considerations (Considerazioni sulla sicurezza)

Tradizionalmente, le reti di livello 2 possono essere attaccate solo dall'interno da punti terminali malevoli -- sia avendo accesso inappropriato a una LAN e spiando il traffico, sia iniettando pacchetti contraffatti per "impossessarsi" di un altro indirizzo MAC, sia attraverso flooding e causando denial of service. Un meccanismo MAC-over-IP per fornire traffico di livello 2 estende significativamente questa superficie di attacco. Questo può accadere quando i malintenzionati si iniettano nella rete iscrivendosi a uno o più gruppi multicast che trasportano traffico broadcast per segmenti VXLAN e anche inviando frame MAC-over-UDP nella rete di trasporto per iniettare traffico spurio, possibilmente per dirottare indirizzi MAC.

Questo documento non incorpora misure specifiche contro tali attacchi, basandosi invece su altri meccanismi tradizionali stratificati sopra IP. Questa sezione, invece, delinea alcuni possibili approcci alla sicurezza nell'ambiente VXLAN.

Gli attacchi tradizionali di livello 2 da parte di punti terminali malevoli possono essere mitigati limitando l'ambito di gestione e amministrativo di chi distribuisce e gestisce VM/gateway in un ambiente VXLAN. Inoltre, tali misure amministrative possono essere aumentate da schemi come 802.1X [802.1X] per il controllo di ammissione dei singoli punti terminali. Inoltre, l'uso dell'incapsulamento basato su UDP di VXLAN abilita la configurazione e l'uso della funzionalità ACL (lista di controllo accessi, Access Control List) basata su 5-tuple negli switch fisici.

Il traffico tunnelizzato sulla rete IP può essere protetto con meccanismi di sicurezza tradizionali come IPsec che autenticano e opzionalmente criptano il traffico VXLAN. Questo dovrà, naturalmente, essere accoppiato con un'infrastruttura di autenticazione per i punti terminali autorizzati per ottenere e distribuire credenziali.

Le reti overlay VXLAN sono designate e operate sull'infrastruttura LAN esistente. Per garantire che i punti terminali VXLAN e i loro VTEP siano autorizzati sulla LAN, si raccomanda che una VLAN sia designata per il traffico VXLAN e che i server/VTEP inviino traffico VXLAN su questa VLAN per fornire una misura di sicurezza.

Inoltre, VXLAN richiede una mappatura appropriata dei VNI e dell'appartenenza delle VM in queste reti overlay. Si prevede che questa mappatura venga effettuata e comunicata all'entità di gestione sul VTEP e sui gateway utilizzando metodi sicuri esistenti.

Ultimo aggiornamento il