Я сидел на презентации, где мне сказали, что нормально иметь физический ящик (виртуализированный на две части), где один находится в зоне DMZ, а другой - в защищенной зоне.
Я обнаружил, что такой подход плохо пахнет.
Есть ли производственная среда, в которой используется такой подход? У меня нет большого опыта в этой области (виртуализация), но я всегда считал, что виртуализация всегда будет использоваться только в одной зоне (например, для защищенной зоны)
Есть идеи или мысли?
Спасибо, Manglu
Это примерно те же дебаты, что и споры о выделении целых коммутаторов сегменту сети или использовании VLAN. Это действительно сводится к вашему уровню комфорта и любым окружающим правилам, положениям или политике в вашем конкретном бизнесе. Всегда существует риск эксплойта повышения прав внутри виртуальной машины, который позволяет ей «выйти из матрицы» и вмешаться в хост-систему. На сегодняшний день их немного, а воздействие минимально.
Позиция VMWare на такие вещи:
По правде говоря, уязвимости и эксплойты никогда не исчезнут полностью для любого корпоративного программного обеспечения, но ESX был замечательно устойчив к таким проблемам. Если это произойдет снова, мы найдем проблему и быстро исправим ее, как мы это сделали для CVE-2009-1244.
Я считаю, что запуск виртуальных машин из разных сегментов сети на одних и тех же хостах приемлем. Я стараюсь подвести черту, выделив отдельные физические каналы NIC и vSwitches для основных зон (пара сетевых адаптеров для трафика DMZ «Front Zone» и пара для внутреннего трафика «Back Zone»). Это совпадает с интерфейсами, свисающими с основного брандмауэра, поэтому, если у вас есть интерфейс на брандмауэре, выделенный для определенного набора VLAN, у вас есть та же группа на vSwitch в виртуальной среде.
В качестве общего обоснования я извлекаю урок из облачных вычислений по этому поводу - многим людям удобно размещать рабочие нагрузки, даже чувствительные, в вычислительных облаках, таких как amazon ec2. Если вам подходит этот сценарий для рассматриваемой рабочей нагрузки, почему бы вам не комфортно использовать его в вашей собственной системе? Вне облака ваши клиентские рабочие нагрузки данных могут выполняться одновременно с любым количеством неизвестных сторонних рабочих нагрузок. В вашей собственной системе это всегда будет гораздо более контролируемым, чем этот сценарий.
Так что это вопрос безопасности. Если на мгновение пренебречь безопасностью, другие большие проблемы, вероятно, связаны с вашими коэффициентами консолидации, затратами и эффективностью вашей системы. Если у вас небольшой или средний магазин с всего несколькими хостами, вы собираетесь укусить некоторые дополнительные расходы, купив дополнительные хосты и окружающие дополнения (место в стойке, время внедрения, текущие операционные расходы, затраты на лицензирование). Если у вас уже есть возможности, чтобы жестяная банка выполнять все рабочие нагрузки в существующей инфраструктуре, покупка дополнительного комплекта для физического разделения кажется неоправданной. Однако, если вы большой виртуальный магазин, связанные с этим затраты, вероятно, будут менее значительными - вы можете просто взять хосты, лицензии и вспомогательные объекты, которыми вы уже владеете и которые обслуживаете, и отделить их часть для работы с отдельными сегментами сети. .
Не так давно у меня был реальный опыт решения именно этой проблемы. Для клиентского проекта было решено, что все должно работать на физически изолированном оборудовании вдали от существующей инфраструктуры. Это оказалось дорогостоящим и проблематичным в обслуживании и мониторинге, и если бы мы делали это снова, я бы приложил все усилия, чтобы разместить его в базовой инфраструктуре с соответствующей изоляцией VLAN. Мы действительно ничего не добились, кроме того, что, возможно, порадовали некоторых нетехнических людей (что часто важно!)
На этот вопрос нет окончательного ответа, это зависит от вашей собственной политики и мнения о личной безопасности. Конечно, если вы поговорите с Cisco, VMWare или Microsoft об их продуктах Nexus / ESX / Hyper-V, они скажут, что рады, что их продукты будут достаточно безопасными, чтобы делать это при правильной настройке - однако они не станут подписывать это прочь как риск.
Конечно, это зависит от содержания и важности этого содержания для вашего бизнеса. Лично у меня есть хосты DMZ, внутренние хосты и безопасные хосты - но мне повезло, у меня есть бюджет на это, и это позволяет мне очень легко спать (если, конечно, миссис Чоппер3 не пинает ночью).
Если вы хотите сделать это, потому что ваш бизнес не будет платить за хосты выделенного уровня, я лично был бы доволен безопасностью, включенной в виртуальные коммутаторы гипервизора, но чтобы защитить себя, я обязательно задокументирую этот риск для своего руководства. и дать понять, что это бюджетный компромисс.
Надеюсь это поможет.
На мой взгляд, это лучшее решение.
Интернет - Межсетевой экран Cisco - DMZ - Маршрутизатор Cisco - Сеть компании