Security
LAN 上的虛擬主機 - DMZ 上的虛擬機,單獨的 NIC - 這是一個壞主意嗎?
只是拋開這個想法,想看看你是否會那麼好心地指出我看不到的問題。
如果我將這個新的 HyperV 主機設置為普通域成員,好處是顯而易見的。我可以通過 SCVMM 管理它,它有自己的 NIC,所以理論上應該將流量與 VM 將使用的骯髒、骯髒的 DMZ NIC 隔離開來。
顯然,我想將虛擬網路設置為專用網路,以便將主機與它們完全隔離。我相信這方面的文件——這太天真了嗎?
我可能想多了,因為將我的 LAN 和 DMZ 都插入同一個物理盒子的想法讓我抽搐,但我沒有任何具體的原因。
謝謝你的想法。
我想說主要風險是任何允許某人突破虛擬機並攻擊主機的漏洞。 VMWare 以前也發生過這種情況。因此,與完全隔離的機器相比,這會使您的 LAN 面臨更高的 DMZ 風險,但我也不會說這很愚蠢。只是取決於它真的必須有多安全……
還要考慮到這聽起來有點“複雜”,因此你可能更有可能忽略一些東西。我敢打賭,由於管理錯誤而不是漏洞利用,更多的安全性被黑客入侵。
要考慮的另一件事是,您是否在可能進行審計的地方/行業工作。即使這種方法確實不安全,也可能存在一些關於 DMZ 和 LAN 駐留在同一物理伺服器上的 BS 審計規則。