Допустим, у меня есть большая система, состоящая из множества виртуальных машин, работающих на одном «голом железе» esxi. На каждой из этих виртуальных машин работают приложения, необходимые для системы. У меня нет возможности изменить некоторые приложения, а изменить другие будет сложно. Многие из этих приложений отправляют пароли в виде открытого текста, как и вы.
Я хотел бы изучить общесистемное решение. Можно ли настроить гипервизор ESXi так, чтобы весь «виртуальный» IP-трафик между этими виртуальными машинами был зашифрован?
Я не имею в виду изменение гостевых операционных систем виртуальной машины для использования ssl или чего-то подобного (если возможно, избежать). Скорее я хочу, чтобы ESXi обрабатывал шифрование и дешифрование данных между этими виртуальными сетевыми картами; или любое другое решение, которое в достаточной мере скрывает эти данные.
Можно ли настроить гипервизор ESXi так, чтобы весь «виртуальный» IP-трафик между этими виртуальными машинами был зашифрован?
Нет, но это коммутатор, а не концентратор, во всяком случае, не сам по себе - вы могли бы, если действительно хотели быть параноиком, использовать NSX, который обеспечивает микросегментацию между виртуальными машинами, но не зашифрован, а просто брандмауэр.
Целью шифрования IP-трафика является предотвращение его перехвата и подслушивания. Трафик между виртуальными машинами никогда не покидает хост ESXi, поскольку виртуальный коммутатор ESX находится в памяти хоста. Итак, шифрование трафика внутри хоста ESXi в вашем случае бессмысленно.
Если у вас несколько хостов ESXi и есть вероятность, что ваши гостевые виртуальные машины будут работать на отдельных хостах ESXi, и этот трафик проходит через ненадежные сегменты сети, вы можете развернуть виртуальные устройства VPN / брандмауэра на каждом хосте ESXi и направить свой трафик через каналы VPN. . Честно говоря, если вам когда-нибудь понадобится прибегнуть к этому решению, у вас, вероятно, будет более серьезная проблема с общим дизайном сети, и вам следует сначала ее решить.
Когда вы проектируете безопасность или отказы, вы должны создать список возможных вариантов использования.
Например:
Такое мышление устранит некоторые решения, не повышающие безопасность, и покажет лучшие. Чтобы иметь возможность задать эти вопросы, вам необходимо знать приложение, как оно будет использоваться и какова целевая база пользователей.
Если у вас есть виртуальные машины, которые вы хотите защитить в сетях VLAN, где нет мошеннических виртуальных машин, вам может не понадобиться шифрование SSL между этими виртуальными машинами. Может хватит только некоторых правил межсетевого экрана.
Например, SSL не защитит вас от SQL-инъекций и может добавить ошибку, например, сердцебиение. Добавление брандмауэра не защитит вас от сетевого сниффера, но ограничит поверхность атаки.