我当时正在参加一个演示,有人告诉我,可以有一个物理盒子(虚拟化成两个),其中一个位于 DMZ 区域,另一个位于安全区域。
我发现这种方法很糟糕。
是否有任何生产环境使用这种方法。我在这个领域(虚拟化)没有太多经验,但我一直认为虚拟化只会在一个区域(例如安全区域)中使用
有什么想法或意见吗?
谢谢,Manglu
答案1
这个问题没有最终答案,这取决于您自己的政策和个人安全观点。当然,如果您与 Cisco、VMWare 或 Microsoft 谈论他们的 Nexus/ESX/Hyper-V 产品,他们会说,如果配置正确,他们的产品将足够安全,可以做到这一点 - 但是他们不会急于将其视为风险。
当然,这也取决于内容以及内容对您的业务的重要性。我个人拥有 DMZ 主机、内部主机和安全主机 - 但我很幸运,我有足够的预算,这让我可以安然入睡(当然,除非半夜被 MrsChopper3 踢走)。
如果您想这样做,因为您的企业不会支付专用层主机的费用,那么我个人对虚拟机管理程序的虚拟交换机中包含的安全性感到相当满意,但为了保护您自己,我会确保您向管理层记录此风险,并明确表示这是一种预算妥协。
希望这可以帮助。
答案2
这和将整个交换机专用于一个网段或使用 VLAN 的争论大致相同。这实际上取决于您的舒适程度以及您所在特定业务中的任何相关规则、法规或政策。虚拟机中始终存在提升漏洞的风险,允许其“退出矩阵”并干扰主机系统。到目前为止,此类情况很少,影响也微乎其微。
VMWare 的立场关于这种事情的是:
事实是,任何企业软件的漏洞和攻击都不会完全消失,但 ESX 对此类问题的抵抗力非常强。如果再次发生这种情况,我们会找到问题并迅速修复,就像我们对 CVE-2009-1244 所做的那样。
我对此的看法是,在同一主机上运行来自不同网络段的虚拟机是可以接受的。我倾向于通过为主要区域专用单独的物理 NIC 链路和 vSwitch 来划清界限(一对 NIC 用于“前区”DMZ 流量,一对 NIC 用于“后区”内部流量)。这与挂在核心防火墙上的接口相匹配,因此,如果您在防火墙上有一个专用于特定 VLAN 集的接口,则在虚拟环境中的 vSwitch 上也会有相同的组。
作为一个普遍的理由,我从云计算中吸取了教训 - 许多人都愿意将工作负载(甚至是敏感工作负载)放入亚马逊 EC2 等计算云中。如果您对所讨论的工作负载的这种情况感到满意,那么为什么您不会在自己的系统中感到满意呢?在云中,您的客户数据工作负载可能与任何数量的未知第三方工作负载一起执行。在您自己的系统中,它总是会比这种情况受到更多的控制。
这就是安全方面的问题。暂时忽略安全问题,其他大问题可能与你的整合率、成本和系统效率有关。如果你是一家只有几台主机的中小型商店,你将通过购买额外的主机和周边的额外设备(机架空间、实施时间、持续运营成本、许可成本)来承担一些额外的成本。如果你已经有足够的能力,那么你能在现有基础设施上运行所有工作负载,购买额外套件来实现物理分离似乎不合理。但是,如果您是一家大型虚拟商店,则所涉及的成本可能没那么大 - 您可以只使用您已经拥有和维护的主机、许可证和支持实体,并将其中的一部分拆分出来运行单独的网络段。
不久前,我亲身经历过几乎完全相同的问题。对于一个客户项目,我们决定所有东西都需要在物理上与现有基础设施隔离的设备上运行。事实证明,维护和监控成本高昂且问题重重,如果我们再次这样做,我会坚决将其托管在核心基础设施中,并进行适当的 VLAN 隔离。除了可能让一些非技术人员感到高兴(这通常很重要!)之外,我们真的没有得到任何好处。
答案3
在我看来我认为这是更好的解决方案。
互联网 - Cisco 防火墙 - DMZ - Cisco 路由器 - 公司网络