В нашей сети (1.0 / 24) у нас есть несколько серверов. На одном из этих серверов работает VMware ESX с тремя виртуальными машинами, на которых размещены различные веб-сайты и приложения для внешнего мира.
В настоящее время сервер и каждая виртуальная машина имеют свой собственный локальный IP-адрес в той же подсети и физическом коммутаторе, что и остальная часть сети.
Мне интересно, как это повлияет на безопасность. Я хочу быть в безопасности, зная, что не оставил открытых дыр в безопасности. Я предполагаю, что, поскольку виртуальные машины находятся в сети и рекламируются в сети, не потребуется много усилий, чтобы отследить локальный IP-адрес и мгновенно увидеть другие устройства (при условии, что злоумышленник имел разумный уровень навыков и знаний).
Я знаю, что используемые нами перспективные коммутаторы Netgear поддерживают VLANS, и я знаю, что используемый нами маршрутизатор Draytek Vigor 2820 поддерживает как VLANS, так и вторую подсеть (?).
Мне интересно, какое было бы "нормальное" решение, и нужно ли мне заходить так далеко, чтобы настроить VLANS, или могут ли некоторые правила брандмауэра это сделать?
Я не уверен, требуете ли вы общего руководства по отключению систем блокировки или спрашиваете, должно ли произойти что-то особенное из-за виртуализации, поэтому я попытаюсь решить обе проблемы.
Здесь не происходит ничего волшебного, хорошего или плохого, только потому, что эти машины являются виртуальными гостями; как бы вы обезопасили машины, если бы они были физическими серверами? Хорошо, тогда ты все еще делаешь который (и моя версия «этого» изложена ниже).
Каждый виртуальный гость должен быть защищен, как обычно, и вам следует с осторожностью размещать любое программное обеспечение на виртуальных машинах с выходом в Интернет, которые раскрывают работу виртуальных хостов (например, не устанавливайте консоль управления VMWare на одном из их, не прямо выставить хранилище виртуального сервера и т. д.).
Обычно должно происходить то, что вы защищаете свои серверы через брандмауэр с помощью политики «запрета по умолчанию» (1), которая предоставляет доступ только к тем сервисам, которые вы хотите предоставить в Интернет. Если у вас нет подходящего брандмауэра и / или вы не настроили его в конфигурации «запретить по умолчанию», вам необходимо сделать это. сейчас.
После этого у вас есть минимальная «поверхность для атаки», что означает, что вы можете сосредоточить большую часть своей энергии на защите, мониторинге и исправлении этих сервисов, которые были открыты для внешнего мира.
Ваши виртуальные хосты должны оставаться в безопасности, потому что вы предоставили только несколько сервисов для нескольких виртуальных гостей, поэтому IP-адреса самих виртуальных хостов не доступны в Интернете.
Сказав все это, неплохо было бы использовать средство VLAN, о котором вы упомянули, чтобы разместить IP-адреса, которые вы открываете для Интернета с виртуальными гостями, в их собственном изолированном vlan вдали от любых интерфейсов управления для виртуальных хостов и любых других серверов. / Инфраструктура, которую вы можете иметь.
Также стоит рассмотреть такие инструменты, как растяжка для отслеживания изменений в вашей системе, если вы беспокоитесь.
(1) Запретить по умолчанию - это политика / набор правил брандмауэра, которые гарантируют, что все заблокировано по умолчанию и что вы открываете только те порты / службы, которые вам нужно открыть. Это должно гарантировать, что будут доступны только те сервисы, которые абсолютно необходимо раскрыть, и хотя это не панацея безопасности, это значительно повысит ваши шансы на обеспечение безопасности ваших серверов и вашей сети.
Помимо приведенных выше предложений, почему бы не создать несколько сетевых зон с конкретным назначением: приложение, БД или клиентская зона с разделяющим их брандмауэром. Таким образом, компрометация одного сервера не приведет к компрометации другого сервера.
Как только вы это настроите, вы передадите это сетевое зонирование хосту ESX. Одна сетевая зона соответствует 1 сетевому адаптеру (или 2 сетевым адаптерам для объединения) в хосте ESX. Естественно, что и ваши виртуальные машины получат то же преимущество от этой сетевой изоляции.
Когда у вас есть надлежащий брандмауэр между Интернетом и вашей локальной сетью, никто не сможет получить доступ к другим вашим службам / компьютерам, если только в брандмауэре или ваших общедоступных службах не обнаружен какой-либо эксплойт.
Вы можете попробовать сохранить сетевые адаптеры виртуальных серверов в какой-нибудь другой VLAN, а не в вашей «управляющей» сети.
Вам следует обезопасить свой VMWare-сервер. Он должен быть доступен только через физически отделенную внутреннюю административную сеть. Предоставленные сети не должны использоваться на этом сервере (т.е. не помещайте туда IP-адреса).
У VMWare были некоторые слабые места в отношении доступа к графической памяти, которые могли привести к эскалации привилегий вплоть до того момента, когда вы выполняли код на сервере VMWare вместо виртуальных хостов.
Я также не видел ничего полезного, которое могло бы отслеживать такие атаки - особенно если они основаны на RAM и непостоянны (tripwire не увидит никаких изменений в файлах). Но, возможно, вы сможете внимательно посмотреть, что делают процессы-серверы VMWare ...