隔離虛擬機以保護網路的最佳方式?
在我們的網路 (1.0/24) 上,我們有許多伺服器。其中一台伺服器執行 VMware ESX,其中包含三個虛擬機,這些虛擬機向外部世界託管各種網站和應用程序。
目前,伺服器和每個虛擬機在與網路其餘部分相同的子網和物理交換機上都有自己的本地 IP 地址。
我想知道這對安全的影響。我想確保安全,因為我沒有留下任何敞開的安全漏洞。我認為由於虛擬機線上並且在網上做廣告,因此跟踪本地 IP 並立即查看其他設備不會花費太多精力(假設入侵者俱有合理的技能和知識水平)。
我知道我們使用的 Netgear prosafe 交換機支持 VLAN,並且我知道我們使用的 Draytek Vigor 2820 路由器同時支持 VLAN 和第二個子網(?)。
我想知道“正常”解決方案是什麼,如果我需要設置 VLAN 或者某些防火牆規則是否可以做到這一點?
我不確定您是在詢問有關鎖定係統的一般指導,還是詢問是否由於虛擬化而必鬚髮生任何特殊情況,所以我將嘗試解決這兩個問題。
這裡沒有什麼神奇的事情發生,無論好壞,僅僅因為這些機器是虛擬客人;如果機器是物理伺服器,您將如何保護它們?好吧,你仍然這樣做*(*下面概述了我的“那個”版本)。
每個虛擬來賓都應該像往常一樣受到保護,並且您應該警惕在面向 Internet 的虛擬機上託管任何會暴露虛擬主機工作的軟體(例如,不要在其中一個上安裝 VMWare 管理控制台)他們,不要直接暴露虛擬伺服器儲存等)。
通常應該發生的是,您通過防火牆使用“預設拒絕”(1) 策略保護您的伺服器,該策略僅公開您希望向 Internet 公開的服務。如果您沒有像樣的防火牆和/或您沒有在“預設拒絕”配置中配置它,那麼您需要立即執行此操作。
完成此操作後,您現在擁有最小的“攻擊面”,這意味著您可以將大部分精力集中在保護、監控和修補這些暴露於外部世界的服務上。
您的虛擬主機應該保持安全,因為您只在少數虛擬客人上公開了一些服務,因此虛擬主機本身的 IP 地址不會暴露給 Internet。
說了這麼多,使用您提到的 VLAN 工具將您為面向網際網路的虛擬客人公開的 IP 地址放置在他們自己的隔離 vlan 中,遠離虛擬主機和任何其他伺服器的任何管理介面,這並不是一個壞主意/您可能擁有的基礎設施。
如果您擔心的話,可能還值得考慮使用tripwire之類的工具來監控系統的變化。
(1) Default Deny是一種防火牆策略/規則集,可確保預設情況下阻止所有內容,並且您只打開需要打開的埠/服務。這應該確保隻公開絕對需要公開的服務,雖然它不是安全靈丹妙藥,但它確實大大提高了保持伺服器和網路安全的機會。