Я хочу защитить отдельные виртуальные машины на хосте vSphere / ESXi с помощью правил брандмауэра, используя решение, которое работает непосредственно на гипервизоре. По умолчанию vSPhere этого не позволяет, верно? Конечно, он должен поддерживать кластерную установку. Какие у меня варианты?
Что для меня не вариант: - Запуск брандмауэра в качестве виртуальной машины и соединение всех виртуальных машин за ней. - Использование встроенного брандмауэра Windows, так как они хотят администратора для ОС и, следовательно, могут просто отключить брандмауэр Windows.
Сценарий - это одна виртуальная машина, к которой вы даете пользователю доступ. Но с этой машины он должен быть полностью изолирован от остальной сети. Таким образом, ему не должно быть разрешено доступ к любой другой машине. Даже не те, что в его собственной подсети
Для VMware vSphere правильным решением для межсетевого экрана является VMware vCloud Сеть и безопасность (ранее vShield) модуль, доступный с платным продуктом (уровень Essential Plus и выше $$$).
Это позволит осуществлять детальный контроль и сетевой мониторинг виртуальных машин, в том числе находящихся в одной подсети.
Он работает путем вставки фильтра в настроенные интерфейсы вашей виртуальной машины в файл .vmx. Трафик фильтруется через набор виртуальных машин vShield (управляющая ВМ и брандмауэр для каждого хоста):
ethernet0.filter0.name = "vshield-dvfilter-module"
ethernet0.filter0.param1 = "uuid=50048229-580b-7327-832e-1390c8c98044.000"
ethernet0.filter0.onFailure = "failClosed"
Если виртуальные машины vShield выйдут из строя, трафик виртуальных машин на настроенных виртуальных машинах будет остановлен по умолчанию.
Гипервизор не выполняет межсетевой экран или NAT на своих виртуальных машинах. Он предназначен для работы так, как будто его нет с точки зрения сети.
С учетом сказанного, если вам нужно логическое разделение сети между виртуальными машинами, вам придется сделать это, используя более традиционный сетевой метод. Это сводится к брандмауэрам на основе хоста, виртуальным локальным сетям, жесткому контролю доступа или даже более сложным методам, таким как аутентификация RADIUS.
Существуют также сторонние межсетевые экраны на основе гипервизоров. У меня был приличный опыт работы с Juniper VGW: http://www.juniper.net/us/en/products-services/security/vgw-series/