Googling stwierdził, że ludzie twierdzą, że uruchamianie zapory / routera jako maszyny wirtualnej jest „niebezpieczne”, ale żaden z nich nie podaje żadnego powodu, dla którego tak jest. Znalazłem również posty od osób, które z powodzeniem uruchamiają zapory ogniowe jak na maszynie wirtualnej.
Czy ktoś ma z tym jakieś doświadczenie?
Jakie byłyby zalety i wady uruchamiania zapory / routera na maszynie wirtualnej na czymś takim jak proxmox vs.
Odpowiedzi:
Naprawdę właściwy sposób robienia rzeczy jest przeciwieństwem podejścia, jeśli bezpieczeństwo jest sprawą najwyższej wagi. Chcesz uruchomić router / zaporę sieciową bez systemu operacyjnego i hostować w niej maszynę wirtualną do standardowego użytkowania na komputerze lub serwerze.
Wybacz mi tę głupią ilustrację MS Paint.
Po zmostkowaniu karty sieciowej maszyny wirtualnej i karty sieciowej LAN (z systemu operacyjnego typu „bare metal”) mogą one pojawiać się jako ten sam interfejs „LAN” do celów zapory ogniowej lub routingu.
Większość problemów związanych z bezpieczeństwem miałoby miejsce, gdyby ktoś podszedł do konsoli, gdy jest ona uruchomiona i wyłącza maszynę wirtualną routera / zapory lub wyłącza mostkowanie / odłączanie karty sieciowej od maszyny wirtualnej - lub gdyby ktoś zdalnie wszedł do systemu i zrobił . Jak zawsze istnieje możliwość, że złośliwe oprogramowanie może zrobić coś zwariowanego.
Możesz to zrobić i użyć dowolnego oprogramowania VM, jeśli chcesz, ale wadą jest to, że jeśli używasz czegoś takiego jak ESX, będziesz musiał RDP na pulpicie VM zamiast bezpośredniego dostępu przez konsolę.
Istnieją produkty komercyjne, takie jak dawne systemy „VSX” Check Point, które obsługują „wirtualne zapory ogniowe” na danej bazie sprzętowej. Jeśli mówimy o VMWare lub lepszym firewallu w chmurze. Zaporę sieciową konfigurujesz „w” chmurze, aby segmentować „wewnętrzną” sieć „chmury”, a nie komunikację między chmurą a inną siecią.
Wydajność jest bardzo ograniczona, a wydajność w chmurze jest wspólna. Zapora ogniowa asic może osiągać> 500 GBps. Zapora lub przełącznik oparty na VMware ma pojemność <20 GB / s. Do oświadczenia LAN NIC może złapać grypę z drutu. Można również stwierdzić, że każde urządzenie pośrednie, takie jak przełącznik, router, ips, może zostać również wykorzystane przez ruch tranzytowy.
Widzimy to w „zniekształconych” pakietach (czyli ramkach, fragmentach, segmentach itp.). Można więc stwierdzić, że użycie „pośrednich” urządzeń jest niepewne. Również niemiecki NIST o nazwie BSI stwierdził kilka lat temu, że wirtualne routery (takie jak VDC (Virtual Device Context - Cisco Nexus)) i VRF (Virtual Route Forwarding) są niepewne. Z punktu widzenia dzielenie się zasobami zawsze stanowi ryzyko. Użytkownik może wykorzystywać zasoby i obniżać jakość usług dla wszystkich innych użytkowników. Który globalnie postawiłby pod znakiem zapytania całą sieć VLAN i technologie nakładek (takie jak VPN i MPLS).
Jeśli masz naprawdę wysokie wymagania w zakresie bezpieczeństwa, użyłbym dedykowanego sprzętu i dedykowanej sieci (w tym dedykowanych linii!) Jeśli zapytasz, czy hiperwizor (szczególnie w czystym metalu) jest specjalnym problemem bezpieczeństwa w typowym scenariuszu ... powiedziałbym, że nie .
Zazwyczaj maszyna wirtualna jest podłączona do sieci za pośrednictwem mostka (tzn. Sieć przechodzi przez fizyczny komputer, na którym działa). Użycie maszyny wirtualnej jako zapory oznacza, że cały ruch może wpływać do komputera fizycznego, następnie pakiety są wysyłane do maszyny wirtualnej, filtrowane, a następnie wysyłane z powrotem do komputera fizycznego. Ponieważ komputer fizyczny może przyjmować niefiltrowane pakiety i jest odpowiedzialny za dystrybucję pakietów do reszty sieci, można to wykorzystać do wysyłania niefiltrowanych pakietów w sieci.