Configurar redes criptografadas na SDN usando o VMM

Importante

Esta versão do VMM (Virtual Machine Manager) chegou ao fim do suporte. Recomendamos que você atualize para o VMM 2022.

Este artigo explica como criptografar as redes VM no SDN (rede definida pelo software) usando o System Center – VMM (Virtual Machine Manager).

Atualmente, o tráfego de rede pode ser criptografado pelo sistema operacional convidado ou por um aplicativo, usando tecnologias como IPSec e TLS. No entanto, essas tecnologias são difíceis de implementar devido à própria complexidade inerente e desafios relacionados à interoperabilidade entre sistemas, devido à natureza da implementação.

Com o recurso de redes criptografadas no VMM, a criptografia de ponta a ponta pode ser configurada com facilidade em redes de VMs usando o NC (Controlador de Rede). Essa criptografia impede que o tráfego entre duas VMs na mesma rede de VM e a mesma sub-rede seja lido e manipulado.

O VMM 1801 e posterior dá suporte a esse recurso.

O controle de criptografia está no nível de sub-rede, e a criptografia pode ser habilitada/desabilitada para cada sub-rede da rede de VM.

Esse recurso é gerenciado pelo NC (Controlador de Rede) da SDN. Se você ainda não tiver uma infraestrutura de SDN (Rede Definida por Software) com um NC, para obter mais informações, consulte implantar o SDN.

Observação

Atualmente, esse recurso fornece proteção contra administradores de rede e de terceiros e não oferece nenhuma proteção contra administradores de malha. A proteção contra administradores de malha está no pipeline e estará disponível em breve.

Antes de começar

Verifique se os seguintes pré-requisitos foram atendidos:

• Pelo menos dois hosts para VMs de locatário validarem a criptografia.
• Rede VM baseada em HNV com criptografia habilitada e um certificado, que pode ser criado e distribuído pelo administrador de malha.

  Observação

  O certificado, juntamente com sua chave privada, deve ser armazenado no repositório de certificados local de todos os hosts onde residem as VMs (dessa rede).

Procedimento – configurar redes criptografadas

Use as etapas a seguir:

1. Crie um certificado e coloque o certificado no repositório de certificados local de todos os hosts em que você planeja colocar as VMs de locatário para essa validação.

2. Você pode criar gerar um certificado autoassinado ou obter um certificado de uma CA. Para obter informações sobre como gerar certificados autoassinados e colocá-los nos locais apropriados de cada host que você usará, consulte Configurar a criptografia para uma sub-rede virtual.

   Observação

   Anote a "Impressão digital" do certificado que você gerar. No artigo acima, na etapa 2, você não precisa executar as ações detalhadas em "Criando uma credencial de certificado" e "Configurando um Rede Virtual para Criptografia". Você definirá essas configurações usando o VMM nas etapas a seguir.

3. Configure uma rede de provedor HNV para conectividade da VM do locatário, que será gerenciada pelo NC. Saiba mais.

4. Crie um Rede VM de locatário e uma sub-rede. Durante a criação de sub-rede, selecione Habilitar Criptografia em VM de Sub-redes. Saiba mais.

   Na próxima etapa, cole a impressão digital do certificado que você criou.

   

   

5. Crie duas VMs em dois hosts físicos separados e conecte-as à sub-rede acima. Saiba mais.

6. Anexe qualquer aplicativo de detecção de pacotes nos dois adaptadores de rede dos dois hosts em que as VMs de locatário são colocadas.

7. Envie tráfego, ping, HTTP ou qualquer outro pacote entre os dois hosts e marcar os pacotes no aplicativo de detecção de pacotes. Os pacotes não devem ter nenhum texto sem formatação perceptível, como os parâmetros de uma solicitação HTTP.