Назад | Перейти на главную страницу

Виртуальный хост в локальной сети - виртуальные машины в DMZ, отдельные сетевые карты - это плохая идея?

Просто раскрутил эту идею и хотел посмотреть, будешь ли ты так любезен, чтобы указать на проблемы, которых я не вижу.

Если я настрою этот новый хост HyperV как обычный член домена, преимущества очевидны. Я могу управлять им через SCVMM, и у него есть собственный сетевой адаптер, поэтому теоретически трафик должен быть изолирован от грязного, грязного сетевого адаптера DMZ, который будут использовать виртуальные машины.

Очевидно, я хочу настроить виртуальную сеть как частную, чтобы полностью изолировать хост от них. Я доверяю документации по этому поводу - это наивно?

Я мог бы слишком много обдумывать, потому что мысль о том, что моя локальная сеть и моя демилитаризованная зона подключены к одному и тому же физическому устройству, заставляет меня дергаться, но у меня нет конкретных причин, почему.

Спасибо за ваши мысли.

Я бы сказал, что основным риском будет любой эксплойт, который позволяет кому-то вырваться из виртуальной машины и атаковать хост. Это случилось с VMWare раньше. Таким образом, это подвергнет вашу локальную сеть более высокому риску из-за DMZ, чем полностью изолированные машины, но я бы тоже не сказал, что это глупо. Просто зависит от того, насколько он действительно должен быть безопасным ...

Также примите во внимание, что это звучит немного сложнее, и поэтому вы можете что-то упустить. Бьюсь об заклад, больше безопасности взломано из-за административных ошибок, чем из-за эксплойтов.

Еще одна вещь, о которой следует подумать, - это работать ли вы на месте / в отрасли, где может быть аудит. Даже если этот метод на самом деле не менее безопасен, может существовать какое-то правило аудита BS о том, что DMZ и LAN находятся на одном физическом сервере.

Сейчас у нас работает несколько таких серверов (хотя мы используем VMWare). Обычно в физических ящиках размещаются гостевые машины, работающие в различных сетях, каждая сеть имеет свои собственные физические сетевые адаптеры, назначенные ей. Как сказал Кайл, это определенно проблема. Подход, который мы использовали, заключается в том, что в свете потенциального воздействия виртуального взлома мы изо всех сил старались защитить ОС на гостевых машинах. Все общедоступные гостевые ОС ежедневно проверяются сторонним аудитом на наличие уязвимостей в системе безопасности, так что мы можем надеяться, что кто-то вообще не попадет в гостевую систему. Кроме того, мы ввели обширные правила брандмауэра, чтобы в первую очередь заблокировать трафик, входящий в DMZ. К сожалению, это, вероятно, настолько безопасно, насколько вы можете получить с такой конфигурацией на данный момент.