Arquitetura de rede de máquina virtual, isolando redes públicas e privadas

4

Estou procurando algumas dicas sobre as práticas recomendadas para o isolamento do tráfego de rede em um ambiente virtual, especificamente no VMWARE ESXi.

Atualmente, tenho (em teste) 1 servidor de hardware executando o ESXi, mas espero expandir isso para várias peças de hardware.

A configuração atual é a seguinte:

1 VM pfsense, essa VM aceita todo o tráfego externo (WAN / Internet) e executa a funcionalidade firewall / port forwarding / NAT. Eu tenho vários endereços IP públicos enviados para essa VM que são usados para acesso a servidores individuais (via regras de encaminhamento de porta IP de entrada). Essa VM é conectada à rede privada (virtual) em que todas as outras VMs estão ativas. Ele também gerencia um link de VPN na rede privada com algumas restrições de acesso. Este não é o firewall do perímetro, mas apenas o firewall para este pool virtual.

Eu tenho 3 VMs que se comunicam entre si, além de ter alguns requisitos de acesso público:

1 servidor LAMP executando um site de comércio eletrônico, acessível à Internet pública

1 servidor de contabilidade, acesso via serviços RDS do Windows Server 2008 para acesso remoto por usuários

1 servidor de gerenciamento de estoque / armazém, VPN para terminais de clientes em armazéns

Esses servidores falam constantemente uns com os outros para a sincronização de dados.

Atualmente, todos os servidores estão na mesma sub-rede / rede virtual e conectados à Internet por meio da VM pfsense. O firewall pfsense usa encaminhamento de porta e NAT para permitir acesso externo aos servidores para serviços e para acesso do servidor à Internet.

Minha principal questão é esta:

Existe um benefício de segurança para adicionar um segundo adaptador de rede virtual a cada servidor e controlar o tráfego de forma que toda a comunicação entre servidores esteja em uma rede virtual separada, enquanto qualquer acesso ao mundo externo é roteado pelo outro adaptador de rede? através do firewall, e na internet.

Esse é o tipo de arquitetura que eu usaria se fossem todos os servidores físicos, mas não tenho certeza se as redes que estão sendo virtuais mudam a maneira como eu deveria abordar o bloqueio desse sistema.

Obrigado por qualquer pensamento ou direção de qualquer literatura apropriada.

    
por Mark 22.05.2010 / 04:49

4 respostas

1

Sua configuração atual está bem. Os dados do switch privado só podem ser acessados por qualquer uma das máquinas anexadas a ele. Você tem um escopo limitado de acesso, portanto, você deve estar seguro. Se você fez alguma coisa, você poderia adicionar um segundo NIC ao PF sense a um vSwitch privado separado para basicamente ter um DMZ, mas não é necessário e um pouco excessivo. Sua milhagem pode variar ..

    
por 17.01.2011 / 12:42
0

Somente se você vir benefícios ao separar o tráfego "entre servidores" e "acesso do cliente", caso contrário, você já tem uma rede "privada" / "protegida" com sua organização atual.

    
por 24.07.2010 / 09:44
0

ao separar o trafego da VM, você também pode se beneficiar ao não engasgar com uma única rede.

    
por 15.01.2011 / 14:03
0

No entanto, sua configuração atual parece OK, sugiro adicionar outro adaptador de rede, para evitar qualquer aumento futuro no uso de largura de banda.

    
por 21.01.2011 / 01:16