Host virtual na LAN - VMs na DMZ, NICs separadas - isso é uma má ideia?

Navegue suas respostas
6

Apenas chute essa idéia, e queria ver se você seria tão gentil a ponto de apontar os problemas que eu não vejo.

Se eu configurar esse novo host HyperV como um membro normal do domínio, os benefícios serão óbvios. Eu posso gerenciá-lo através do SCVMM, e ele tem seu próprio NIC, então, teoricamente, o tráfego deve ser isolado do sujo DMIC NIC que as VMs estarão usando.

Obviamente, desejo configurar a rede virtual como Particular, para isolar completamente o host deles. Estou confiando na documentação sobre isso - isso é ingênuo?

Eu poderia estar pensando demais, porque o pensamento de ter minha LAN e minha DMZ conectadas na mesma caixa física faz com que eu me contorça, mas não tenho nenhuma razão concreta para isso.

Obrigado por seus pensamentos.

    
por Kara Marfia 23.07.2009 / 20:43

2 respostas

5

Eu diria que o principal risco seria qualquer exploração que permita a alguém sair da VM e atacar o host. Isso aconteceu com o VMWare antes . Então isso colocaria sua LAN em maior risco da DMZ do que máquinas totalmente isoladas, mas eu não diria que é estúpido também. Só depende de quão seguro isso realmente tem que ser ...

Considere também que isso soa um pouco mais "complicado" e, portanto, é mais provável que você ignore algo. Aposto que mais segurança é hackeada por causa de erros administrativos do que exploits.

Mais uma coisa para pensar é se você trabalha no local / indústria que possa ter auditorias. Mesmo que esse método não seja menos seguro, pode haver alguma regra de auditoria da BS sobre a DMZ e a LAN residindo no mesmo servidor físico.

    
por 23.07.2009 / 20:52
3

Estamos executando vários servidores como este agora (embora estejamos usando o VMWare). Basicamente, as caixas físicas hospedam máquinas Convidadas em execução em várias redes, cada rede tem suas próprias NICs físicas atribuídas a ela. Este é definitivamente um problema como Kyle mencionou. A abordagem que tomamos é que, à luz do impacto potencial de um hack virtual, nós nos esforçamos para proteger o sistema operacional nas máquinas convidadas. Todos os sistemas operacionais convidados que são acessíveis ao público são examinados diariamente por uma auditoria de terceiros quanto a vulnerabilidades de segurança, de modo que esperamos evitar que alguém entre no convidado em primeiro lugar. Além disso, colocamos regras de firewall extensas para bloquear o tráfego que entra na DMZ. Infelizmente, isso provavelmente é o mais seguro possível com esse tipo de configuração no momento.

    
por 23.07.2009 / 21:57

Tags

copie os arquivos vmware vmware enquanto a vm estiver rodando Onde localizar tomadas de energia no rack do servidor?