只是踢这个想法,并想看看你是否会好心指出我看不到的问题。
如果我将这个新的HyperV主机设置为普通域名成员,那么好处是显而易见的。 我可以通过SCVMMpipe理它,并且它有自己的NIC,所以理论上stream量应该与虚拟机将要使用的肮脏,肮脏的DMZ网卡隔离。
很明显,我想将虚拟networking设置为私有,从而完全隔离主机。 我相信这个文件 – 是天真的吗?
我可以推翻一些东西,因为把我的局域网和我的DMZ都插入同一个物理盒子的想法让我抽搐,但是我没有任何具体的理由。
谢谢你的想法。
我认为主要的风险是任何可以让人摆脱虚拟机攻击主机的漏洞。 这之前发生过VMWare 。 所以这会让你的局域网在非军事区的风险比完全隔离的机器更高,但我也不会说这是愚蠢的。 只是取决于它有多安全,
还要考虑到这听起来更复杂一点,所以你可能更容易忽略一些东西。 我敢打赌,更多的安全因为pipe理上的错误而被黑客攻击。
还有一件事要考虑的是,如果你在可能进行审计的地方/行业工作。 即使这种方法确实不那么安全,也可能有一些关于DMZ和LAN驻留在同一物理服务器上的BS审计规则。
现在我们正在运行几个这样的服务器(虽然我们正在使用VMWare)。 基本上,物理机器托pipe在各种networking上运行的访客机器,每个networking都有自己的物理网卡分配给它。 凯尔提到这肯定是一个问题。 我们采取的方法是,鉴于虚拟黑客的潜在影响,我们已经摆脱了保护访客机器上的操作系统的方式。 所有可公开访问的客户操作系统都由第三方审核,每天审查安全漏洞,以便我们可以希望让某人永远不会进入客户。 此外,我们已经放置了大量的防火墙规则来locking进入DMZ的stream量。 不幸的是,这可能是安全的,你现在可以用这种configuration获得。