Sanal makinede güvenlik duvarı / yönlendirici çalıştırmanız önerilir mi?

Google çalışanı, sanal makine olarak bir güvenlik duvarı / yönlendirici çalıştırmanın "tehlikeli" olduğunu söyleyen insanları buldu, ancak bunların hiçbiri neden böyle olduğu konusunda herhangi bir neden vermiyor. Ayrıca, sanal bir makinede olduğu gibi güvenlik duvarlarını başarıyla çalıştıran kişilerin gönderilerini de buldum.

Bununla ilgili herhangi bir deneyimi olan var mı?

Proxmox vs ob fiziksel bir makine gibi bir sanal makinede güvenlik duvarı / yönlendirici çalıştırmanın artıları veya eksileri ne olurdu?

Güvenlik çok önemli bir konuysa, bir şeyler yapmanın gerçekten doğru yolu, yaklaşımınızın tam tersidir. Yönlendiriciyi / güvenlik duvarını çıplak metalde çalıştırmak ve standart masaüstü veya sunucu kullanımı için bunun içinde bir VM barındırmak istersiniz.

Benim berbat MS Paint illüstrasyon affet.

VM'nin NIC ve LAN NIC'i (çıplak metal işletim sisteminden) köprülerseniz, güvenlik duvarı veya yönlendirme amacıyla aynı "LAN" arabirimi olarak görünebilirler.

Güvenlik sorunlarının çoğu, birisinin bu çalışırken konsola çıkması ve yönlendirici / güvenlik duvarı VM'nizi devre dışı bırakması veya NIC'nizin VM'den köprülemesini / bağlantısını kesmesini veya birisinin sisteme uzaktan bağlanıp bunu yapması . Her zaman olduğu gibi, kötü amaçlı yazılımların tuhaf bir şey yapma olasılığı vardır.

Bunu yapabilir ve isterseniz herhangi bir VM yazılımı kullanabilirsiniz, ancak dezavantajı, ESX gibi bir şey kullanıyorsanız, doğrudan konsol aracılığıyla erişmek yerine masaüstü VM'ye RDP yapmanız gerekir.

Check Point eski "VSX" Sistemleri gibi belirli bir donanım bazında "sanal güvenlik duvarlarına" hizmet veren ticari ürünler vardır. VMWare veya daha iyi bulut tabanlı güvenlik duvarı hakkında konuşursak. Bir bulut ile başka bir ağ arasındaki iletişimi değil, "dahili" bulut "ağını" bölümlemek için bulutta bir güvenlik duvarı "kurarsınız.

Performans çok sınırlıdır ve bir buluttaki performans paylaşılır. Asik tabanlı bir güvenlik duvarı 500GBps'den fazla olabilir. VMware tabanlı bir Güvenlik Duvarı veya anahtarı <20GBps yapar. LAN NIC ifadesine telden grip bulaşabilir. Anahtar, yönlendirici, ips gibi herhangi bir ara aygıtın transit trafikten de yararlanabileceğini de belirtebilirsiniz.

Bunu "hatalı biçimlendirilmiş" paketlerde görüyoruz (diğer adıyla çerçeveler, fragmanlar, segmentler vb.) Yani "ara" cihazları kullanarak durum güvenli olmayabilir. Ayrıca BSI adlı Alman NIST birkaç yıl önce sanal yönlendiricilerin (VDC'ler (Sanal Cihaz Bağlamı - Cisco Nexus) gibi) ve VRF'nin (Sanal Rota Yönlendirme) güvensiz olduğunu belirtti. Bir bakış açısından, kaynakları paylaşmak her zaman bir risktir. Kullanıcı diğer tüm kullanıcılar için kaynaklardan yararlanabilir ve hizmet kalitesini düşürebilir. Hangi küresel olarak tüm VLAN ve kaplama teknolojileri (VPN ve MPLS gibi) söz konusu.

Güvenlik konusunda gerçekten yüksek talepleriniz varsa, özel donanım ve özel ağ (özel hatlar dahil!) Kullanacağım. Hipervizörün (özellikle çıplak metalde) ortak bir senaryoda özel bir güvenlik sorunu olup olmadığını sorarsanız ... Hayır diyorum. .

Tipik olarak, sanal bir makine ağa köprülü bir bağlantı üzerinden bağlanır (yani ağ, üzerinde çalıştığı fiziksel bilgisayardan geçer). VM'yi güvenlik duvarı olarak kullanmak, tüm trafiğin fiziksel bilgisayara girebileceği anlamına gelir, daha sonra paketler VM'ye gönderilir, filtrelenir ve daha sonra fiziksel bilgisayara geri gönderilir. Fiziksel bilgisayar filtrelenmemiş paketleri alabildiğinden ve paketleri ağın geri kalanına dağıtmaktan sorumlu olduğundan, filtrelenmemiş paketleri ağ çevresinde göndermek için bu yararlanılabilir.