Donanım güvenlik duvarı vs VMware güvenlik duvarı cihazı

Ofisimizde bir donanım güvenlik duvarı almanın veya VMWare kümemizde sanal bir duvar kurmanın gerekli olup olmadığı konusunda bir tartışmamız var.

Ortamımız, iSCSI paylaşılan depolama dizisine sahip 2x 1 GB anahtarlar üzerinde 3 sunucu düğümünden (her biri 64 GB RAM ile 16 çekirdek) oluşur.

VMWare cihazlarına kaynak ayıracağımızı varsayarsak, sanal bir güvenlik duvarı üzerinden sanal bir güvenlik duvarı seçmenin faydası olur muydu?

Bir donanım güvenlik duvarı kullanmayı seçersek, ClearOS gibi özel bir sunucu güvenlik duvarı bir Cisco güvenlik duvarıyla nasıl karşılaştırılır?

Birkaç nedenden dolayı sanal bir makinede güvenlik duvarını barındırmak konusunda her zaman isteksiz oldum:

• Güvenlik .

Bir hipervizörle saldırı yüzeyi daha geniştir. Donanım güvenlik duvarlarında genellikle olası bir sistem güvenliğinin etkilerini azaltacak şekilde güçlendirilmiş bir işletim sistemi (salt okunur fs, oluşturma araçları yoktur) bulunur. Güvenlik duvarları ana bilgisayarları korumalı, tersi olmamalıdır.

• Ağ performansı ve kullanılabilirliği .

Biz gördük de ayrıntılar kötü NIC'lerde yapabileceklerini (ya da değil) ve bir şeyi o kaçınmak istediğiniz. Aynı hatalar cihazları etkileyebilir, ancak donanım seçilmiştir ve yüklü yazılımla çalıştığı bilinmektedir. Sürücülerle veya önermedikleri herhangi bir donanım yapılandırmasıyla ilgili sorun yaşarsanız yazılım satıcısı desteğinin size yardımcı olmayabileceğini söylemeye gerek yoktur.

Düzenle:

@Luke'un dediği gibi, birçok donanım güvenlik duvarı satıcısının yüksek kullanılabilirlik çözümlerine sahip olduğunu ve etkin bağlantı durumunun aktif üniteden bekleme moduna geçtiğini eklemek istedim. Checkpoint ile kişisel olarak memnun kaldım (eski nokia IP710 platformlarında). Cisco sahiptir ASA ve PIX yük devretme / fazlalık, pfSense sahiptir CARP ve IPCop'u sahip bir eklenti . Vyatta daha fazlasını yapabilir (pdf) , ancak bir güvenlik duvarından daha fazlasıdır.

Yazılımın aynı olduğunu varsayarsak (genellikle değil), sanal güvenlik duvarları fiziksel güvenlik duvarından daha iyi olabilir , çünkü daha iyi yedekliğiniz vardır. Güvenlik duvarı yalnızca CPU, RAM ve uplink adaptörlerine sahip bir sunucudur. Bu, fiziksel bir web sunucusu ile sanal bir ayet arasında aynı argüman. Donanım başarısız olursa, sanal bir sunucu otomatik olarak başka bir ana bilgisayara geçirilebilir. Tek kesinti süresi, sanal güvenlik duvarının başka bir ana bilgisayara geçirilmesi için gereken süre ve belki de işletim sisteminin önyüklenmesi için gereken süredir.

Fiziksel bir güvenlik duvarı sahip olduğu kaynaklara bağlıdır. Sanal güvenlik duvarı, ana bilgisayardaki kaynaklarla sınırlıdır. Genellikle x86 donanımı fiziksel bir kurumsal güvenlik duvarından çok daha ucuzdur. Ne düşünmek zorundayız maliyet donanım vardır artı (açık kaynak kullanılmıyorsa) yazılımın maliyeti, artı (eğer gitmek satıcı yazılımlarının bağlıdır) zaman maliyeti. Maliyeti karşılaştırdıktan sonra, her iki tarafta hangi özellikleri alıyorsunuz?

Sanal veya fiziksel güvenlik duvarlarını karşılaştırırken, gerçekten özellik kümesine bağlıdır. Cisco güvenlik duvarları, iki güvenlik duvarını yük devretme için bir (ana ve bağımlı) olarak çalıştırmanıza izin veren HSRP adlı bir özelliğe sahiptir. Cisco olmayan güvenlik duvarları VRRP adı verilen benzer bir teknolojiye sahiptir. Ayrıca CARP var.

Fiziksel bir güvenlik duvarını sanal bir duvarla karşılaştırırken, elma ile elma karşılaştırmasını yaptığınızdan emin olun. Hangi özellikler sizin için önemli? Yapılandırma nasıl? Bu yazılım diğer kuruluşlar tarafından kullanılıyor mu?

Güçlü yönlendirmeye ihtiyacınız varsa, Vyatta iyi bir bahistir. Güvenlik duvarı özelliklerine sahiptir. Ciso benzeri bir yapılandırma konsoluna sahiptir. Vyatta.org'da ücretsiz bir topluluk sürümüne ve vyatta.com'da desteklenen bir sürüme (bazı ekstra özelliklerle) sahipler. Dokümantasyon çok temiz ve anlaşılır.

Güçlü bir güvenlik duvarına ihtiyacınız varsa pfSense'e bakın. Ayrıca yönlendirme de yapabilir.

ESXi sunucularımızda VRRP ile iki Vyatta örneği çalıştırmaya karar verdik. Cisco (güvenlik duvarı başına iki güç kaynağı, iki güvenlik duvarı) ile ihtiyacımız olan fazlalığı elde etmek için maliyeti 15-30k $ olurdu. Bizim için Vyatta topluluk baskısı iyi bir seçimdi. Yalnızca komut satırı arabirimine sahiptir, ancak belgelerle yapılandırılması kolaydır.

Özel bir donanıma sahipim çünkü amaca uygun üretildi Bir cihaza sahip olmak bu açıdan kullanışlıdır, özellikle de bir VPN uç noktası veya başka bir ağ geçidi ise. VMWare kümenizi bu sorumluluktan kurtarır. Donanım / RAM / CPU kaynakları açısından, bir yazılım çözümü çalıştırmak kesinlikle iyidir. Ama bu gerçekten bir endişe değil.

Tabii ki gerekli değil ve çoğu insan için işi halledecek. NIC'leri güvenlik duvarı VM'sine ayırmadığınız sürece, trafiğinizin sanal anahtar bağlantılarınızda trombon olabileceğini düşünün. (Bunu yapmak için vMotion istediğiniz her kutuda yapmanız gerekir).

Şahsen? Özel donanımı tercih ediyorum çünkü gerçekten pahalı değil. Özel donanımda performans numaralarını üreticiden alabilirsiniz, ancak VM güvenlik duvarı performansınız ana makinelerinizin ne kadar meşgul olduğuna tamamen özneldir.

Diyorum ki yazılımı deneyin, nasıl gittiğine bakın. Yolda bir donanım takmanız gerekiyorsa, bunu yapın.