假设我有一个由一个裸机esxi盒子上运行的很多虚拟机组成的大型系统。 每个虚拟机都运行着系统所需的应用程序。 我没有能力改变一些应用程序,改变其他应用程序将是困难的。 这些应用程序中的许多应用程序都以明文forms发送密码,就像您一样。
我想探索一个系统范围的解决scheme。 ESXi虚拟机pipe理程序是否可以configuration,以便这些虚拟机之间的所有“虚拟”IP通信都被encryption?
我不是说要改变VM Guest操作系统来使用ssl或类似的东西(如果可能的话)。 相反,我希望ESXi处理这些虚拟网卡之间的数据encryption和解密; 或者其他能够充分隐藏这些数据的解决scheme。
ESXi虚拟机pipe理程序是否可以configuration,以便这些虚拟机之间的所有“虚拟”IP通信都被encryption?
不,不是一个交换机,不是一个集线器,如果你真的想成为偏执狂的话,可以使用在虚拟机之间提供微分层的NSX,但是没有encryption,只是防火墙。
当您devise安全或失败时,您应该创build一个可能的用例列表。
例如:
使用这种思维会消除一些不增加安全性的解决scheme,并且会揭示更好的方法。 为了能够提出这些问题,您需要了解应用程序,如何使用以及目标用户群是什么。
如果您想要在没有stream氓虚拟机的VLAN中保护虚拟机,则可能不需要在这些虚拟机之间进行SSLencryption。 可能只有一些防火墙规则就够了。
例如,SSL不会保护您免受SQL注入,它可能会添加一个像心脏stream血一样的错误。 添加防火墙不会保护您免受networking嗅探器的攻击,但会限制攻击面。
encryptionIPstream量的目的是防止窃听和窃听。 由于ESX虚拟交换机驻留在主机的内存中,因此虚拟机之间的stream量不会离开ESXi主机。 所以,在你的情况下,encryptionESXi主机内的stream量是毫无意义的。
如果您有多个ESXi主机,并且您的访客虚拟机有可能在不同的ESXi主机上运行,并且此stream量会经过不可信networking段,则可以在每个ESXi主机上部署虚拟VPN /防火墙设备,并通过VPN链接路由您的stream量。 诚实地说,如果你需要诉诸这个解决scheme,你可能在整个networkingdevise上面临更大的问题,你应该首先解决它。