Pregunta Host virtual en LAN - VMs en DMZ, NIC separadas - ¿es una mala idea?


Simplemente rechacé esta idea y quise ver si sería tan amable de señalar los problemas que no veo.

Si configuro este nuevo host HyperV como un miembro de dominio normal, los beneficios son obvios. Puedo administrarlo a través de SCVMM, y tiene su propia NIC, por lo que, en teoría, el tráfico debería estar aislado de la sucia y sucia NIC DMZ que las VM usarán.

Obviamente, desearé configurar la red virtual como Privada, para aislar completamente el host de ellos. Estoy confiando en la documentación sobre esto, ¿es eso ingenuo?

Podría estar pensando demasiado, porque la idea de tener mi LAN y mi DMZ conectadas en la misma caja física me hace temblar, pero no tengo ninguna razón concreta para eso.

Gracias por tus pensamientos.


6
2017-07-23 18:43


origen


Editado para hacer que las etiquetas sean más virtualizadas. Seguiré envidiando el VMWare entre nosotros y apreciaré los consejos de todos y todas. - Kara Marfia


Respuestas:


Yo diría que el principal riesgo sería cualquier vulnerabilidad que permita a alguien salir de la máquina virtual y atacar al host. Esto ha sucedido con VMWare antes. Así que esto pondría su LAN a un mayor riesgo de la DMZ que las máquinas totalmente aisladas, pero tampoco diría que es una estupidez. Solo depende de lo seguro que realmente tiene que ser ...

También tenga en cuenta que esto suena un poco más 'complicado' y, por lo tanto, es más probable que pase por alto algo. Apuesto a que se piratea más la seguridad debido a errores administrativos que a vulnerabilidades.

Una cosa más en que pensar es si trabaja en un lugar / industria que pueda tener auditorías. Incluso si este método no es menos seguro en realidad, podría haber alguna regla de auditoría de BS sobre la DMZ y la LAN que residen en el mismo servidor físico.


5
2017-07-23 18:52



Gracias por ese enlace. Espero que "solo mantenlo remendado" será la respuesta aquí. - Kara Marfia
Tomando en serio su consejo y nombrando al anfitrión para que alguien (con suerte) haga una pausa antes de jugar con la red virtual. - Kara Marfia
También vale la pena mencionar que ese exploit estaba en Workstation. También significaría que algo tendría que violar varias capas de seguridad y ser muy consciente del entorno para hacer un buen uso de la brecha, esto al menos coloca a las amenazas muy lejos en el campo "ataque determinado y dirigido" en mi humilde opinión. - rackandboneman


Ahora estamos ejecutando varios servidores como este (aunque estamos usando VMWare). Básicamente, las cajas físicas alojan máquinas invitadas que se ejecutan en varias redes, cada red tiene asignadas sus propias NIC físicas. Esto es definitivamente un problema como mencionó Kyle. El enfoque que hemos adoptado es que, a la luz del impacto potencial de un hack virtual, hemos hecho todo lo posible para asegurar el sistema operativo en las máquinas invitadas. Todos los sistemas operativos invitados que son de acceso público son revisados ​​diariamente por una auditoría de terceros para detectar vulnerabilidades de seguridad, de modo que, con suerte, podamos evitar que alguien ingrese al huésped en primer lugar. Además, hemos implementado extensas reglas de firewall para bloquear el tráfico que ingresa a la DMZ en primer lugar. Desafortunadamente, esto es probablemente lo más seguro que puede obtener con ese tipo de configuración en este momento.


3
2017-07-23 19:57



Asegurarme de que esto está permitido en un entorno que es mucho más estricto que el mío. Gracias por el aporte. - Kara Marfia