Estou procurando algumas dicas sobre as práticas recomendadas para o isolamento do tráfego de rede em um ambiente virtual, especificamente no VMWARE ESXi.
Atualmente, tenho (em teste) 1 servidor de hardware executando o ESXi, mas espero expandir isso para várias peças de hardware.
A configuração atual é a seguinte:
1 VM pfsense, essa VM aceita todo o tráfego externo (WAN / Internet) e executa a funcionalidade firewall / port forwarding / NAT. Eu tenho vários endereços IP públicos enviados para essa VM que são usados para acesso a servidores individuais (via regras de encaminhamento de porta IP de entrada). Essa VM é conectada à rede privada (virtual) em que todas as outras VMs estão ativas. Ele também gerencia um link de VPN na rede privada com algumas restrições de acesso. Este não é o firewall do perímetro, mas apenas o firewall para este pool virtual.
Eu tenho 3 VMs que se comunicam entre si, além de ter alguns requisitos de acesso público:
1 servidor LAMP executando um site de comércio eletrônico, acessível à Internet pública
1 servidor de contabilidade, acesso via serviços RDS do Windows Server 2008 para acesso remoto por usuários
1 servidor de gerenciamento de estoque / armazém, VPN para terminais de clientes em armazéns
Esses servidores falam constantemente uns com os outros para a sincronização de dados.
Atualmente, todos os servidores estão na mesma sub-rede / rede virtual e conectados à Internet por meio da VM pfsense. O firewall pfsense usa encaminhamento de porta e NAT para permitir acesso externo aos servidores para serviços e para acesso do servidor à Internet.
Minha principal questão é esta:
Existe um benefício de segurança para adicionar um segundo adaptador de rede virtual a cada servidor e controlar o tráfego de forma que toda a comunicação entre servidores esteja em uma rede virtual separada, enquanto qualquer acesso ao mundo externo é roteado pelo outro adaptador de rede? através do firewall, e na internet.
Esse é o tipo de arquitetura que eu usaria se fossem todos os servidores físicos, mas não tenho certeza se as redes que estão sendo virtuais mudam a maneira como eu deveria abordar o bloqueio desse sistema.
Obrigado por qualquer pensamento ou direção de qualquer literatura apropriada.
Sua configuração atual está bem. Os dados do switch privado só podem ser acessados por qualquer uma das máquinas anexadas a ele. Você tem um escopo limitado de acesso, portanto, você deve estar seguro. Se você fez alguma coisa, você poderia adicionar um segundo NIC ao PF sense a um vSwitch privado separado para basicamente ter um DMZ, mas não é necessário e um pouco excessivo. Sua milhagem pode variar ..
Somente se você vir benefícios ao separar o tráfego "entre servidores" e "acesso do cliente", caso contrário, você já tem uma rede "privada" / "protegida" com sua organização atual.
ao separar o trafego da VM, você também pode se beneficiar ao não engasgar com uma única rede.
No entanto, sua configuração atual parece OK, sugiro adicionar outro adaptador de rede, para evitar qualquer aumento futuro no uso de largura de banda.
Tags networking vmware-esxi