Назад | Перейти на главную страницу

Следует ли фильтровать частную виртуальную локальную сеть

Я разработчик, пытающийся изучать другие вещи, и моя текущая цель - создать «виртуальную» сеть на хосте ESXi.

Я создал виртуальную машину, которая работает как шлюз локальной сети для глобальной сети, и некоторые виртуальные машины, которые находятся исключительно в локальной сети.

Я настроил свои iptables, и я могу получить доступ к WAN с каждой виртуальной машины LAN, я также могу получить доступ к серверу apache на виртуальной машине LAN из WAN.

Моя конфигурация кажется правильной, и по умолчанию моя политика находится на DROP, и я принимаю из WAN только требуемые пакеты.

У меня вопрос про LAN,

Проиллюстрирую на примере:

С моего компьютера в WAN я могу использовать SSH для VM1 (который является мостом между WAN и LAN), а с VM1 я могу использовать SSH для виртуальных машин LAN.

Должен ли я согласиться с тем, что с виртуальной машины в локальной сети (кроме виртуальной машины 1) я могу подключиться по SSH к другой виртуальной машине в локальной сети?

Я взял SSH в качестве примера, но вопрос больше в том, следует ли мне Policy DROP каждой виртуальной машины и вручную принимать то, что мне нужно, на каждой даже в локальной сети.

Входная фильтрация WAN может помочь справиться с проблемами вторжения, но нужна ли фильтрация LAN для предотвращения распространения вторжения с одной виртуальной машины на другую?

"необходима" ли фильтрация локальной сети, чтобы предотвратить распространение вторжения с одной виртуальной машины на другую?

Разрешение бокового движения - это политическое решение, которое вы принимаете. В общем, отказ от любого ненужного трафика - лучшая безопасность. Модные термины для этого - микросегментация и сети с нулевым доверием.

Обзор сетевой безопасности виртуальных машин см. На Конфигурация защищенной виртуальной сети NIST SP 800-125B для защиты виртуальных машин (ВМ). В нем упоминаются брандмауэры, VLAN и оверлеи. Обратите внимание, что полная картина сетевой безопасности выходит за рамки одной виртуальной машины.

VMWare с удовольствием расскажет вам, как их продукт NSX выполняет микросегментацию. Благодаря центральной политике вы можете указать, что виртуальная машина 1 может взаимодействовать с глобальной сетью и еще одним хостом, но не с кем-либо еще. Есть альтернативы, просто заявив, что конфигурации брандмауэра не нужно создавать вручную.