7. Security Considerations (セキュリティに関する考慮事項)
従来、レイヤー 2 ネットワークは、不正なエンドポイントによって「内部から」のみ攻撃される可能性がありました - LAN への不適切なアクセスによってトラフィックをスヌーピングするか、スプーフィングされたパケットを注入して別の MAC アドレスを「乗っ取る」か、またはフラッディングによってサービス拒否を引き起こすことによって。レイヤー 2 トラフィックを配信するための MAC-over-IP メカニズムは、この攻撃面を大幅に拡大します。これは、不正な者が VXLAN セグメントのブロードキャストトラフィックを伝送する1つ以上のマルチキャストグループにサブスクライブすることによってネットワークに自分自身を注入し、また MAC-over-UDP フレームをトランスポートネットワークにソーシングして偽のトラフィックを注入し、場合によっては MAC アドレスをハイジャックすることによって発生する可能性があります。
本文書は、このような攻撃に対する特定の対策を組み込んでおらず、代わりに IP 上に階層化された他の従来のメカニズムに依存しています。代わりに、このセクションでは、VXLAN 環境におけるセキュリティへのいくつかの可能なアプローチを概説します。
不正なエンドポイントによる従来のレイヤー 2 攻撃は、VXLAN 環境で VM/ゲートウェイを展開および管理する人の管理および管理範囲を制限することによって軽減できます。さらに、このような管理措置は、個々のエンドポイントのアドミッション制御のために 802.1X [802.1X] などのスキームによって強化される可能性があります。また、VXLAN の UDP ベースのカプセル化を使用することで、物理スイッチで 5 タプルベースの ACL (Access Control List, アクセス制御リスト) 機能を構成および使用できます。
IP ネットワーク上のトンネルトラフィックは、VXLAN トラフィックを認証し、オプションで暗号化する IPsec などの従来のセキュリティメカニズムで保護できます。もちろん、これは、認証されたエンドポイントが資格情報を取得して配布するための認証インフラストラクチャと組み合わせる必要があります。
VXLAN オーバーレイネットワークは、既存の LAN インフラストラクチャ上で指定および運用されます。VXLAN エンドポイントとその VTEP が LAN 上で承認されることを保証するために、VXLAN トラフィック用に VLAN を指定し、サーバー/VTEP がこの VLAN を介して VXLAN トラフィックを送信して、ある程度のセキュリティを提供することが推奨されます。
さらに、VXLAN は、これらのオーバーレイネットワークにおける VNI と VM メンバーシップの適切なマッピングを必要とします。このマッピングは、既存の安全な方法を使用して実行され、VTEP およびゲートウェイ上の管理エンティティに伝達されることが期待されます。