Estou procurando algumas dicas sobre as práticas recomendadas para o isolamento do tráfego de rede em um ambiente virtual, especificamente no VMWARE ESXi.
Atualmente, tenho (em teste) 1 servidor de hardware executando o ESXi, mas espero expandir isso para várias peças de hardware.
A configuração atual é a seguinte:
1 VM pfsense, essa VM aceita todo o tráfego externo (WAN / Internet) e executa a funcionalidade firewall / port forwarding / NAT. Eu tenho vários endereços IP públicos enviados para essa VM que são usados para acesso a servidores individuais (via regras de encaminhamento de porta IP de entrada). Essa VM é conectada à rede privada (virtual) em que todas as outras VMs estão ativas. Ele também gerencia um link de VPN na rede privada com algumas restrições de acesso. Este não é o firewall do perímetro, mas apenas o firewall para este pool virtual.
Eu tenho 3 VMs que se comunicam entre si, além de ter alguns requisitos de acesso público:
1 servidor LAMP executando um site de comércio eletrônico, acessível à Internet pública
1 servidor de contabilidade, acesso via serviços RDS do Windows Server 2008 para acesso remoto por usuários
1 servidor de gerenciamento de estoque / armazém, VPN para terminais de clientes em armazéns
Esses servidores falam constantemente uns com os outros para a sincronização de dados.
Atualmente, todos os servidores estão na mesma sub-rede / rede virtual e conectados à Internet por meio da VM pfsense. O firewall pfsense usa encaminhamento de porta e NAT para permitir acesso externo aos servidores para serviços e para acesso do servidor à Internet.
Minha principal questão é esta:
Existe um benefício de segurança para adicionar um segundo adaptador de rede virtual a cada servidor e controlar o tráfego de forma que toda a comunicação entre servidores esteja em uma rede virtual separada, enquanto qualquer acesso ao mundo externo é roteado pelo outro adaptador de rede? através do firewall, e na internet.
Esse é o tipo de arquitetura que eu usaria se fossem todos os servidores físicos, mas não tenho certeza se as redes que estão sendo virtuais mudam a maneira como eu deveria abordar o bloqueio desse sistema.
Obrigado por qualquer pensamento ou direção de qualquer literatura apropriada.