在我们的networking(1.0 / 24),我们有一些服务器。 其中一台服务器运行VMware ESX,其中三台虚拟机将各种网站和应用程序托pipe到外部世界。
目前,服务器和每个虚拟机在与networking其余部分相同的子网和物理交换机上都有自己的本地IP地址。
我想知道这个的安全影响。 我想知道我没有留下任何漏洞的安全漏洞。 我认为,因为虚拟机在线并在网上公布,所以不需要太多的努力来追踪本地IP,并立即看到其他设备(假设入侵者具有合理的技能和知识水平)。
我知道我们使用的Netgear prosafe交换机支持VLAN,而且我知道我们使用的Draytek Vigor 2820路由器同时支持VLAN和第二个子网(?)。
我想知道什么是“正常”的解决scheme,如果我需要去设置VLANS或一些防火墙规则可以做到这一点?
我不知道你是否要求关于locking系统的一般指导,或者是否因为虚拟化问题而有什么特别的事情发生,所以我要试着解决这两个问题。
这里没有什么不可思议的东西,无论好坏,只是因为这些机器是虚拟的客人。 如果他们是物理服务器,你将如何保护机器? 那么,你仍然这样做(和我的版本的“那”在下面概述)。
每个虚拟客户端应该像往常一样安全,并且应该保持在面向互联网的虚拟机上承载任何暴露虚拟主机工作的软件(例如,不要将VMWarepipe理控制台安装在他们,不要直接暴露虚拟服务器存储等)。
通常情况下应该发生的是,你通过一个“默认拒绝”(1)策略防火墙来保护你的服务器,这个策略只暴露你想要暴露给Internet的服务。 如果你没有一个体面的防火墙和/或你没有configuration它在“默认拒绝”configuration,那么你现在就需要这样做。
完成之后,您现在拥有最小的“攻击面”,这意味着您可以将大部分精力集中在保护,监视和修补这些已经暴露给外部世界的服务上。
您的虚拟主机应该保持安全,因为您只在几个虚拟客户端上暴露了一些服务,所以虚拟主机本身的IP地址不会暴露给Internet。
说了这么多,使用你提到的VLAN工具来放置你正在面向互联网的虚拟客户端的IP地址在他们自己的孤立的vlan上,远离虚拟主机和任何其他服务器的pipe理接口/你可能有的基础设施。
如果你担心的话,也可以考虑使用像tripwire这样的工具来监视系统的变化。
(1) 默认拒绝是防火墙策略/规则集,可确保所有内容在默认情况下都被阻止,并且只打开您需要打开的端口/服务。 这应该确保只有绝对需要暴露的服务才是暴露的,虽然它不是安全的万能药,但它确实大大提高了保持服务器和networking安全的机会。
你应该保护你的VMWare服务器。 它应该只能通过物理上分离的后端pipe理networking访问。 提供的networking不应该在该服务器上使用(即不要在那里放置任何IP)。
VMWare在graphics内存的访问方面有一些弱点,可能会导致在VMWare服务器而不是虚拟主机上执行代码的权限升级。
我没有看到任何可以跟踪这种攻击的可用性 – 特别是如果它们是基于RAM和非持久性的(tripwire将不会看到任何文件更改)。 但也许你可以密切关注VMWare服务器进程的function
如果在Internet和本地networking之间有适当的防火墙,则除非在防火墙或公共服务中find某种漏洞,否则任何人都无法访问其他服务/计算机。
您可以尝试将您的虚拟服务器网卡保留在除“pipe理”networking之外的其他VLAN上。
除了上面的build议,为什么不具有特定目的的几个networking区域:应用程序,数据库或基于防火墙分隔的客户区域。 这样,一台服务器的任何妥协都不会导致另一台服务器的妥协。
一旦你设置了这个,你把这个networking分区下推到ESX主机。 一个networking区域对应于ESX主机中的一个NIC(或用于分组的两个NIC)。 当然,你的虚拟机也可以享受这种networking隔离的好处。