У нас работает хост ESXi с 5 сетевыми адаптерами. До сих пор на нем размещались только виртуальные машины для нашей внутренней сети. У нас также есть брандмауэр, чтобы пользователи сети могли просматривать Интернет (прокси). Брандмауэр является устройством UTM и также имеет порт DMZ. Теперь я подумал, что мы можем также разместить веб-сервер (или аналогичный) на одной виртуальной машине и сделать его доступным в Интернете. Этот виртуальный сервер получит один выделенный сетевой адаптер на ESXi, который подключен к порту DMZ межсетевого экрана. Будет ли это хорошей идеей, или есть какие-либо (связанные с безопасностью) соображения против этого сценария? Поскольку это отдельный сетевой адаптер, он получит свой собственный vSwitch на vCenter и не будет иметь физического подключения к внутренней сети. Но vCenter управляет всем хостом и имеет доступ ко всем сетевым адаптерам и т. Д., Поэтому я не уверен, что это лучшее решение.
Конечно, это не лучшее решение - в идеале у вас должен быть отдельный хост виртуальной машины для гостей DMZ. Если вы все же решите пойти по этому пути, вам следует принять во внимание некоторые моменты:
Первый очевидный: кто-то может использовать эксплойт чтобы выйти из тюрьмы виртуальной машины и таким образом скомпрометировать хосты локальной сети из DMZ. Так что тебе следует действительно следите за исправлениями как для гостей, так и для хоста DMZ, а затем надейтесь на лучшее.
Ошибки в настройке имеют серьезные последствия. Подумайте, например, о возможности назначения сетевых адаптеров как в DMZ, так и в LAN какому-либо хосту. Теперь ваша DMZ и ваша LAN - это одно и то же. Конечно, вы можете предотвратить это, применяя процедуры и просто проявляя компетентность, но вы понимаете, как можно сказать, что в итоге вы окажетесь в более хрупкой среде.
Тем не менее, это все же лучше, чем отсутствие DMZ вообще, поэтому это может быть хорошим временным решением, если вы не можете использовать отдельный хост прямо сейчас. Просто имейте в виду, что это не так безопасно, как размещение гостей DMZ на отдельном хосте и в реальной сети.
В таком подходе нет ничего плохого.
Я обычно использую транкинг VLAN для переноса DMZ по существующим каналам, но если вы хотите, чтобы он был полностью и полностью разделен, тогда да, используйте другую ссылку и назначьте этот сетевой адаптер в отдельный vSwitch. Это должно сделать вещи красивыми и сегментированными.