我坐在一个演讲中,我被告知可以有一个物理盒子(虚拟化成两个),一个驻留在DMZ区域,另一个驻留在安全区域。
我发现这种方法味道不好。
有没有使用这种方法的生产环境。 我在这个领域没有太多经验(虚拟化),但是我始终认为虚拟化总是只能用在一个区域(例如安全区域)
任何想法或想法?
谢谢,Manglu
这个问题没有最终答案,这取决于你自己的政策和个人安全意见。 当然,如果你与思科,VMWare或者微软谈论他们的Nexus / ESX / Hyper-V产品,他们会说他们很高兴他们的产品能够保证足够的安全性,如果configuration得当的话 – 他们不会进入签名那作为一个风险。
当然,这也取决于内容和内容对您的业务的重要性。 就我个人而言,我有DMZ主机,内部主机和安全主机 – 但我很幸运,我有这个预算,它可以让我很容易睡觉(当然,除非裘普斯夫人晚上踢了)。
如果你想这样做,因为你的企业不会支付专用层主机,那么我个人会对pipe理程序的虚拟交换机中包含的安全性感到满意,但为了保护自己,我会确保你将这些风险logging到pipe理中并明确表示这是一个预算妥协。
希望这可以帮助。
这与关于将整个交换机专用于网段或使用VLAN的争论大致相同。 这真的归结为您的舒适程度和任何周边的规则,法规或政治在您的特定业务。 虚拟机内部总是存在提升利用率的风险,使其能够“退出matrix”,并与主机系统混淆。 迄今为止,这些人数很less,影响最小。
VMWare在这种事情上的立场是:
事实是,任何企业软件的漏洞和漏洞都不会完全消失,但ESX已经非常抵抗这些问题。 如果再次发生,我们会发现问题并迅速修复,就像我们为CVE-2009-1244所做的那样。
我认为,在同一台主机上运行不同网段的虚拟机是可以接受的。 我倾向于通过为主要区域分配物理网卡链路和vSwitch(一对网卡用于“Front Zone”DMZstream量,以及一对用于“Back Zone”内部stream量)来划分线路。 这与挂在核心防火墙上的接口相匹配,所以如果防火墙上有专用于特定VLAN的接口,则在虚拟环境中的vSwitch上有同一组。
作为一个普遍的理由,我正在从这个云计算中吸取教训 – 许多人都很乐意将工作负载,甚至是敏感的工作,放到计算云中,像amazon ec2。 如果您对这种工作负载情况感到满意,为什么您不能在自己的系统中使用它? 在云中,您的客户端数据工作负载可以与任何数量的未知第三方工作负载一起执行。 在你自己的系统中,总是比这种情况更受控制。
所以这是安全的考虑。 其他的重大问题可能是围绕着你的整合比例,成本和系统的效率。 如果你是一个只有less数几个主机的中小型商店,那么你将通过购买额外的主机和周边的额外资源(机架空间,实施时间,正在进行的运营成本,许可成本)来节省一些额外的成本。 如果您已拥有足够的容量,以便您可以在现有基础架构上运行所有工作负载,则购买额外的工具包以实现物理分离似乎是不合理的。 但是,如果您是一家大型的虚拟商店,所涉及的成本可能不那么重要 – 您可以将已拥有和维护的主机,许可证和支持实体分离出来,然后拆分其中的一部分以运行您的单独网段。
在不久之前,我已经有了真实的经验。 对于一个客户项目,决定所有的东西都需要在物理隔离的设备上运行,远离现有的基础设施。 维护和监视已经certificate是昂贵和有问题的,如果我们再一次做了,我会跺脚,让它在适当的VLAN隔离的核心基础设施内托pipe。 除了让一些非技术人员感到高兴之外,我们确实没有获得任何东西(这通常很重要!)
在我看来,我认为这是更好的解决scheme。
互联网 – 思科防火墙 – DMZ – 思科路由器 – 公司networking