Гуглінг знайшов мені людей, які говорять, що запуск брандмауера / маршрутизатора як віртуальної машини "небезпечний", але жоден з них не дає жодних причин, чому це так. Я також знайшов повідомлення від людей, які успішно працюють між брандмауерами, як на віртуальній машині.
Хтось має з цим досвід?
Які б були плюси чи мінуси роботи брандмауера / маршрутизатора на віртуальній машині у чомусь на зразок proxmox vs ob фізичній машині?
Відповіді:
Дійсно правильний спосіб робити речі - це протилежне тому, як ви підходите, якщо безпека є найважливішою проблемою. Ви хочете запустити маршрутизатор / брандмауер на голому металі та розмістити VM в межах цього для звичайного настільного чи серверного використання.
Пробачте мою шалену ілюстрацію MS Paint.
Якщо ви з’єднаєте NIC VM та LAN NIC (з голою металевою ОС), вони можуть виглядати як той самий інтерфейс "LAN" для цілей брандмауера або маршрутизації.
Більшість питань безпеки полягають у тому, якщо хтось повинен піднятися до консолі, поки це працює та вимкнути ваш маршрутизатор / брандмауер VM або відключити з'єднання / відключення вашого NIC від VM - або якщо хтось віддаляється до системи та робить це . Як завжди, існує можливість, що зловмисне програмне забезпечення може зробити щось нерозумне.
Ви можете це зробити і використовувати будь-яке програмне забезпечення VM, якщо хочете, але недоліком є те, що якщо ви використовуєте щось на зразок ESX, вам потрібно буде RDP у робочий стіл VM замість прямого доступу через консоль.
Існують такі комерційні продукти, як колишні системи VSX "Check Point", які обслуговують "віртуальні брандмауери" на певній апаратній базі. Якщо ми говоримо про VMWare або кращому хмарному брандмауері. Ви встановлюєте брандмауер "у" хмарі для сегментації "внутрішньої" хмарної "мережі", а не зв'язку між хмарою та іншою мережею.
Продуктивність дуже обмежена, а продуктивність у хмарі спільна. Брандмауер на основі asic може робити> 500 Гбіт / с. Брандмауер або комутатор на основі VMware працює <20 Гбіт / с. До заяви LAN NIC може захворіти на грип від дроту. Ви також можете стверджувати, що будь-який проміжний пристрій, як комутатор, маршрутизатор, ips, також може бути використаний транзитним транспортом.
Ми бачимо це у "неправильно сформованих" пакетах (ака кадрів, фрагментів, сегментів тощо). Отже, можна стверджувати, що використання "проміжних" пристроїв небезпечно. Також німецький NIST під назвою BSI заявив кілька років тому, що віртуальні маршрутизатори (як VDC (Virtual Device Context - Cisco Nexus)) та VRF (Virtual Route Forwarding) не є безпечними. З точки зору, обмін ресурсами - це завжди ризик. Користувач може використовувати ресурси та знижувати якість обслуговування для всіх інших користувачів. Який глобально розмістив би всі питання VLAN та накладені технології (як VPN та MPLS) у питанні.
Якщо у вас є дуже високі вимоги до безпеки, я б застосував спеціальну апаратуру та виділену мережу (включаючи спеціальні лінії!), Якщо ви запитаєте, чи не є гіпервізор (особливо в голому металі) особливою проблемою безпеки в загальному сценарії ... я б сказав, що ні .
Зазвичай віртуальна машина підключається до мережі за допомогою мостового з'єднання (тобто мережа проходить через фізичний комп'ютер, на якому вона працює). Використовувати VM як брандмауер означає, що весь трафік може надходити на фізичний комп'ютер, тоді пакети надсилаються до ВМ, фільтруються і потім відправляються назад на фізичний комп'ютер. Оскільки фізичний комп'ютер може приймати нефільтровані пакети і відповідає за розповсюдження пакетів по іншій мережі, це корисно для надсилання нефільтрованих пакетів по всій мережі.