Ein sehr einfacher Weg zur Absicherung einer virtuellen Umgebung führt über deren Isolierung. Das heißt, der ESX-Server lässt sich nur lokal ansprechen. Dazu richten Sie Firewall-Systeme zwischen Internet, DMZ und LAN ein, die sämtlichen Netzwerkverkehr auf die Service Console des ESX-Hosts verbieten. Außerdem konfigurieren Sie auf dem ESX-Host selbst die Firewall sehr konservativ. Je nach internem Sicherheitsstandard dürfen keine VLANs genutzt werden, wodurch sich die Anzahl der Netzwerk-Ports zwangsweise erhöht.

Es ist zudem selbstverständlich möglich, auch in den virtuellen Maschinen Firewall-Software zu installieren und zu betreiben. Allerdings sind gerade Firewall-Funktionen enorme Netzwerk- und CPU-Ressourcenfresser, die die IRQs häufig belegen. Daher werden die Host-CPU und das Netzwerk deutlich belastet, wenn in jeder VM eine Firewall konfiguriert ist. VMware arbeitet allerdings sehr eng mit den Hardwareherstellern zusammen, wodurch dieses Problem vor allem durch neue Netzwerkkarten mit intelligenter IRQ-Nutzung relativiert wird. Ohne die Nutzung von Firewalls ist es allerdings nicht möglich, virtuelle Maschinen, die sich in den gleichen Portgruppen befinden, gegeneinander zu schützen, da eine Portgruppe mit einem physikalischen Switch ohne VLAN-Einrichtung vergleichbar ist.

Private VLANs (PVLAN) bieten hervorragende Optionen, um virtuelle Maschinen voneinander abzuschotten, indem Sie die Modi "Promiscuous", "Community" und "Isolated" verwenden. Promiscuous erlaubt jeglichen Datenverkehr und wird meist nur für das Parent-VLAN genutzt und nicht für die VM-Netze. Die Einstellung Community gestattet es allen virtuellen Maschinen, die Teil des Community-PVLAN sind, sich beliebig im Netzwerk zu unterhalten. Somit können VMs im Community-Netz nur im eigenen Netzwerk und mit Promiscuous-Netzwerken kommunizieren. Isolated erlaubt nur die Kommunikation mit Promiscuous-Netzen, nicht jedoch mit Community-Netzwerken und auch nicht mit anderen VMs im gleichen Isolated-Netzwerk. Diese Form des PVLAN bringt definitiv den höchsten Sicherheitsgrad bezüglich der Kommunikationseinschränkung.

Es existieren Best Practices, um virtuelle Maschinen in der DMZ zu betreiben, die Sie allerdings gegen die eigene Umgebung und deren Möglichkeiten abwägen und prüfen müssen. Stichwortartig lauten diese wie folgt:
 

• ESX-Hosts mit eigenen LUNs für die DMZ-VMs verwenden
• ESX-Hosts in der DMZ von ESX-Hosts im normalen LAN trennen
• Keine DMZ-VMs mit LAN-VMs auf dem gleichen ESX-Host oder der gleichen LUN mischen
• Bei Nutzung von DRS-Clustern müssen entsprechende Regeln zum Schutz vor automatischer Migration getroffen werden, um keine Mischumgebungen zu schaffen.
• Storage VMotion und VMotion werden im Klartext durchgeführt, daher sollten diese Netze vom Netzwerk der virtuellen Maschinen getrennt werden.

Dennis Zimmer/ln