is a LAN filtering "needed" to avoid propagation of an intrusion from a VM to another ?
Permitir o movimento lateral é uma decisão política que você toma. Em geral, negar qualquer tráfego que não seja necessário é uma melhor segurança. Os termos da moda para isso são microssegmentação e redes de confiança zero.
Para obter uma visão geral da segurança de rede da VM, consulte NIST SP 800-125B Secure Configuração de rede virtual para proteção de máquina virtual (VM) . Menciona firewalls, VLANs e sobreposições. Observe que a imagem completa da segurança da rede vai além de uma VM.
A VMWare ficará feliz em lhe contar como o NSX o produto faz microssegmentação. Por causa da política central, você pode afirmar que a VM1 pode falar com a WAN e com outro host, mas com mais ninguém. Existem alternativas, apenas afirmando que as configurações de firewall não precisam ser construídas manualmente.