Melhor maneira de isolar VMs para proteger a rede?

2

Na nossa rede (1,0 / 24), temos vários servidores. Um desses servidores está executando o VMware ESX com três máquinas virtuais que hospedam vários sites e aplicativos para o mundo externo.

Atualmente, o servidor e cada uma das VMs têm seu próprio endereço IP local na mesma sub-rede e comutador físico que o restante da rede.

Estou me perguntando sobre as implicações de segurança disso. Eu quero estar seguro no conhecimento de que eu não deixei nenhum furo de segurança aberto. Eu presumo que, como as VMs estão on-line e são anunciadas on-line, não seria preciso muito esforço para rastrear o IP local e ver instantaneamente os outros dispositivos (supondo que o intruso tivesse um nível razoável de habilidade e conhecimento).

Eu sei que os switches prosafe da Netgear que usamos suportam VLANs, e eu sei que o roteador Draytek Vigor 2820 que usamos suporta VLANs e uma segunda sub-rede (?).

Eu estou querendo saber qual seria a solução "normal" e se preciso ir tão longe quanto configurar VLANs ou se algumas regras de firewall poderiam fazer isso?

    
por dannymcc 11.12.2011 / 20:30

4 respostas

2

Não tenho certeza se você está pedindo orientação geral sobre o bloqueio de sistemas ou perguntando se algo especial deve ocorrer devido à virtualização, então tentarei abordar os dois problemas.

Nada de mágico acontece aqui, seja bom ou ruim, só porque essas máquinas são convidados virtuais; como você protegeria as máquinas se elas fossem servidores físicos? Ok, você ainda faz isso (e minha versão de "that" é descrita abaixo).

Cada convidado virtual deve ser protegido como você faria normalmente, e você deve ter cuidado ao hospedar qualquer software nas máquinas virtuais voltadas para a Internet que exponham o funcionamento dos hosts virtuais (por exemplo, não instale o console de gerenciamento VMWare em um deles, não diretamente exponha o armazenamento do servidor virtual, etc.).

O que normalmente deve acontecer é que você proteja seus servidores através de um firewall com uma política de "negação padrão" (1) que expõe apenas os serviços que você deseja expor à Internet. Se você não tem um firewall decente e / ou não o configurou em uma configuração de "negação padrão", então você precisa fazer isso agora .

Feito isso, agora você tem uma "superfície de ataque" mínima, o que significa que você pode concentrar a maior parte de sua energia na segurança, no monitoramento e na correção desses serviços que foram expostos ao mundo externo.

Seus hosts virtuais devem permanecer seguros porque você apenas expôs alguns serviços em alguns convidados virtuais, portanto, os endereços IP dos próprios hosts virtuais não estão expostos à Internet.

Tendo dito tudo isso, não é uma má idéia usar o recurso de VLAN que você mencionou para colocar os endereços IP que você está expondo para a Internet enfrentando hóspedes virtuais em sua própria vlan isolada longe de quaisquer interfaces de gerenciamento para os hosts virtuais e qualquer outro servidor / infraestrutura que você possa ter.

Também pode valer a pena considerar ferramentas como o tripwire para monitorar seus sistemas em busca de alterações, se você estiver preocupado.

(1) Default Deny é uma política de firewall / conjunto de regras que garante que tudo está bloqueado por padrão e que você só abre as portas / serviços que você precisa abrir. Isso deve garantir que apenas os serviços que precisam ser expostos sejam expostos e, embora não seja uma panacéia de segurança, isso aumenta muito suas chances de manter seus servidores e sua rede protegidos.

    
por 11.12.2011 / 21:13
0

Você deve proteger seu servidor VMWare. Ele deve ser acessível somente por meio de uma rede administrativa de back-end fisicamente separada. As redes fornecidas não devem ser usadas nesse servidor (ou seja, não coloque nenhum IP lá).

O VMWare tinha alguns pontos fracos em relação ao acesso à memória gráfica que poderia levar à escalada de privilégios até o ponto em que você executou o código no servidor VMWare em vez dos hosts virtuais.

Também não vi nenhum utilizável que possa rastrear esse tipo de ataque - especialmente se eles forem baseados em RAM e não persistentes (o tripwire não verá nenhuma alteração de arquivo lá). Mas talvez você possa observar de perto o que os processos do servidor VMWare fazem ...

    
por 11.12.2011 / 23:02
0

Quando você tem um firewall adequado entre a Internet e sua rede local, ninguém pode acessar seus outros serviços / computadores, a menos que algum tipo de exploração seja encontrado no firewall ou em seus serviços disponíveis publicamente.

Você pode tentar manter suas NICs de servidores virtuais em alguma outra VLAN que em sua rede de "gerenciamento".

    
por 12.12.2011 / 00:45
0

Além das sugestões acima, por que não ter várias zonas de rede com finalidade específica: App, DB ou com base na zona do cliente com firewall separando-as. Dessa forma, qualquer comprometimento em um servidor não resultaria em comprometimento de outro servidor.

Depois de configurar isso, você reduz esse zoneamento de rede ao host ESX. Uma zona de rede corresponde a 1 NIC (ou 2 NIC para agrupamento) no host ESX. Naturalmente, suas máquinas virtuais também desfrutariam do mesmo benefício desse isolamento de rede.

    
por 13.12.2011 / 00:21