Coloque um NIC de cinco em DMZ no VMWare ESXi Host - boa ideia?

Navegue suas respostas
3

Temos um host ESXi em execução que possui 5 NICs no total. Até agora, ele hospeda apenas VMs para nossa rede interna. Também temos um firewall para que os usuários na rede possam navegar na internet (proxy). O firewall é um dispositivo UTM e também tem uma porta DMZ. Agora eu pensei que poderíamos também colocar um servidor web (ou similar) em uma VM e torná-lo acessível na internet. Esse servidor virtual teria uma NIC dedicada no ESXi que está conectada à porta DMZ do firewall. Isso seria uma boa ideia ou há alguma consideração (relacionada à segurança) contra esse cenário? Como é um NIC separado, ele teria seu próprio vSwitch no vCenter e não teria conexão física com a rede interna. Mas o vCenter gerencia todo o host e tem acesso a todos os NICs, etc., então não tenho certeza se essa é a melhor solução.

    
por duenni 23.05.2011 / 15:36

2 respostas

6

Não é a melhor solução, é claro - idealmente, você teria um host de VM separado para os convidados da DMZ. Se você optar por seguir este caminho, alguns pontos devem ser levados em conta:

  • O óbvio primeiro: alguém pode usar uma exploração para escapar da cadeia da VM e, assim, comprometer seus hosts da LAN da DMZ. Então você deve realmente acompanhar os patches nos convidados da DMZ e no host, e então esperar pelo melhor.

  • Os erros na configuração têm sérias consequências. Pense, por exemplo, na possibilidade de você ou outra pessoa atribuir NICs tanto na DMZ quanto na LAN a algum host. Agora sua DMZ e sua LAN são a mesma coisa. É claro que você pode evitar isso reforçando os procedimentos e apenas sendo competente, mas você vê como pode dizer que acaba tendo um ambiente mais frágil.

Dito isto, ainda é melhor do que não ter um DMZ, por isso pode ser uma boa solução de falhas se você não puder usar um host separado agora. Apenas tenha em mente que não é tão seguro quanto ter seus convidados DMZ em um host separado e rede real.

    
por 23.05.2011 / 15:52
2

Não há nada de errado com essa abordagem.

Eu normalmente usaria tronqueamento de VLAN para carregar uma DMZ sobre os links existentes, mas se você quiser separá-la absoluta e completamente, então sim, use outro link e atribua essa NIC a um vSwitch separado. Isso deve manter as coisas agradáveis e segmentadas para você.

    
por 23.05.2011 / 15:52

Tags

Exchange 2010 dividindo caixas de correio em 2 servidores Terminologia da Cisco: flash e nvram