我只是考虑了一下这个想法,想看看你是否愿意指出我没有看到的问题。
如果我将这个新的 HyperV 主机设置为普通域成员,好处显而易见。我可以通过 SCVMM 管理它,而且它有自己的 NIC,因此理论上流量应该与虚拟机将要使用的肮脏、污秽的 DMZ NIC 隔离。
显然,我希望将虚拟网络设置为私有网络,以便将主机与它们完全隔离。我相信文档中的内容 - 这太天真了吗?
我可能是想太多了,因为一想到要将我的 LAN 和 DMZ 插入同一个物理盒子我就感到不安,但我没有任何具体的理由。
感谢您的想法。
答案1
我认为主要的风险是任何允许某人突破虚拟机并攻击主机的漏洞。 VMWare 上也发生过这种情况。因此,与完全隔离的机器相比,这会使您的 LAN 面临更高的 DMZ 风险,但我也不认为这是愚蠢的。只是取决于它到底有多安全......
还要考虑到这听起来有点“复杂”,因此你可能更容易忽略一些东西。我敢打赌,更多的安全漏洞是因为管理失误而不是漏洞而造成的。
还有一件事需要考虑,如果你在可能有审计的地方/行业工作。即使这种方法实际上并不安全,但可能存在一些关于位于同一物理服务器上的 DMZ 和 LAN 的 BS 审计规则。
答案2
我们现在正在运行几台这样的服务器(尽管我们使用的是 VMWare)。基本上,物理机箱托管在各种网络上运行的客户机,每个网络都有自己的物理 NIC。正如 Kyle 提到的,这肯定是一个问题。我们采取的方法是,考虑到虚拟黑客的潜在影响,我们竭尽全力保护客户机上的操作系统。所有可公开访问的客户机操作系统每天都会接受第三方审计,以检查是否存在安全漏洞,这样我们就有希望阻止某人首先进入客户机。此外,我们还制定了广泛的防火墙规则,以首先锁定进入 DMZ 的流量。不幸的是,这可能是目前使用这种配置所能获得的最安全的方法。