仮想マシンでファイアウォール/ルーターを実行することをお勧めしますか?
回答:
セキュリティが最重要事項である場合、実際に正しい方法は、アプローチ方法の逆です。ベアメタルでルーター/ファイアウォールを実行し、標準のデスクトップまたはサーバーで使用するためにその内部でVMをホストする必要があります。
私のくだらないMSペイントのイラストを許してください。
VMのNICと(ベアメタルOSからの)LAN NICをブリッジする場合、ファイアウォールまたはルーティングの目的で、それらは同じ「LAN」インターフェースとして表示できます。
ほとんどのセキュリティ問題は、実行中にコンソールにアクセスしてルーター/ファイアウォールVMを無効にするか、VMからNICのブリッジ/バインド解除を無効にするか、または誰かがシステムにリモート接続してそれを行うかどうかです。 。いつものように、悪意のあるソフトウェアが奇妙な何かをする可能性があります。
これを行うことができ、必要に応じて任意のVMソフトウェアを使用できますが、ESXなどを使用する場合、コンソールから直接アクセスするのではなく、デスクトップVMにRDPする必要があるという欠点があります。
特定のハードウェアベースで「仮想ファイアウォール」を提供するCheck Point以前の「VSX」システムなどの商用製品があります。VMWareまたはそれより優れたクラウドベースのファイアウォールについて話す場合。クラウド内にファイアウォールを設定して、クラウドと別のネットワーク間の通信ではなく、「内部」クラウド「ネットワーク」をセグメント化します。
パフォーマンスは非常に限られており、クラウドでのパフォーマンスは共有されます。asicベースのファイアウォールは500GBpsを超えることができます。VMwareベースのファイアウォールまたはスイッチは、20GBps未満です。声明にLAN NICはワイヤーからインフルエンザを捕まえることができました。また、スイッチ、ルーター、ipsなどの中間デバイスもin-transit-trafficによって悪用される可能性があると述べることもできます。
これは「不正な」パケット(フレーム、フラグメント、セグメントなど)で見られます。したがって、「中間」デバイスを使用すると安全ではないと述べることができます。また、BSIと呼ばれるドイツのNISTは、数年前に仮想ルーター(VDC(仮想デバイスコンテキスト-Cisco Nexus)など)とVRF(仮想ルート転送)は安全でないと述べました。観点から見ると、リソースを共有することは常にリスクです。ユーザーはリソースを悪用し、他のすべてのユーザーのサービス品質を低下させる可能性があります。VLAN全体とオーバーレイテクノロジー(VPNやMPLSなど)をグローバルに配置するのはどれですか。
セキュリティへの要求が非常に高い場合は、専用ハードウェアと専用ネットワーク(専用回線を含む)を使用します。ハイパーバイザー(特にベアメタル)が一般的なシナリオで特別なセキュリティ問題であるかどうかを尋ねる場合...いいえ。
通常、仮想マシンはブリッジ接続を介してネットワークに接続されます(つまり、ネットワークは、実行されている物理コンピューターを通過します)。VMをファイアウォールとして使用するということは、すべてのトラフィックが物理コンピューターに到達し、パケットがVMに送信され、フィルターにかけられてから、物理コンピューターに送り返されることを意味します。物理コンピュータはフィルタリングされていないパケットを取得でき、パケットをネットワークの残りの部分に配信する責任があるため、これは、フィルタリングされていないパケットをネットワークの周りに送信するために悪用可能です。