Questões de segurança com gateways de rede física vs virtual [fechados]

Estou no processo de configuração de uma rede privada que usa um sistema de gateway para acesso a determinados serviços em sistemas por trás da rede, por exemplo, ssh, ftp. Tenho alguma experiência em usar a infraestrutura virtualizada, mas quero verificar se estou usando as práticas recomendadas para configurar o ambiente.

Haverá uma variedade de serviços sendo executados dentro da rede privada, como DHCP, DNS, LDAP, etc, que devem ser mais ou menos invisíveis para os sistemas do outro lado do gateway; no entanto, haverá alguns serviços como um servidor web, upload de arquivos que podem precisar de acesso a ambas as redes.

Eu passei algum tempo trabalhando no design e layout do firewall com zona interna, zona externa e DMZ; elaborou quais serviços precisam estar disponíveis nas diferentes zonas e começou a montar ACLs para os sistemas. Meu plano era virtualizar muitos dos serviços e executá-los dentro de contêineres LXC ou Docker (atualmente usando o LXC, mas poderia mudar para o Docker se houvesse um strong argumento a ser feito para isso).

Durante o trabalho de configuração de sistemas, tenho usado um único hipervisor para configurar e configurar os contêineres, quando eles podem ser movidos para o armazenamento apropriado. Como estou me aproximando do status de produção (outras pessoas terão a oportunidade de usar minha rede) Eu tive algumas dúvidas / preocupações de segurança.

1. Parece que a maneira mais segura de isolar as coisas seria executar no mínimo 3 configurações de hipervisor / hipervisor (para que hypervisores adicionais possam ser girados, se necessário, no caso de uma falha, etc.) um para cada zona. Parece que isso reduziria o risco para a rede no caso de grandes vulnerabilidades do hipervisor serem descobertas. Existe alguma solução melhor para isolar serviços virtuais da maneira descrita?
2. Como é necessário o armazenamento dedicado para sistemas / serviços em execução diferentes zonas de firewall? Parece que com apropriado configurações de firewall / ACL armazenamento backend comum com externo separado backups seriam suficientes, mas conselhos / sugestões sobre os melhores práticas para armazenar grupos de recipientes virtualizados com configurações de acesso diferentes seriam apreciadas.
3. Vale a pena virtualizar a infraestrutura dessa maneira? Tenho experiência em executar serviços semelhantes em alguns servidores dedicados com servidores de backup e failover para uso quando algo falha. Esses sistemas foram todos configurados para que pudessem ser reconstruídos usando arquivos de configuração de compilação ou kickstart altamente personalizados para o sistema operacional desejado.

A contribuição de qualquer pessoa que tenha passado pelo processo de virtualização da infraestrutura física dessa maneira seria muito apreciada. Especificamente, a maior complexidade do gerenciamento de hipervisores, além dos serviços de rede, gera benefícios suficientes em termos de confiabilidade e escalabilidade para valer o esforço adicional?