仮想ネットワークトラフィックのセグメント化
VLANとその長所と短所はネットワークセグメンテーションに関連しているので、基本的な知識から中程度の理解がありますが、仮想化環境に移行するときにどこから始めればよいか迷っています。
セキュリティの観点から、従来のVLANセグメンテーションは、VMWareのvCloud Networking and Security製品などの仮想環境に焦点を当てた製品/ソリューションにどのように対応しますか?連結されたVMを使用している場合、どのような戦略/セグメントVMトラフィックに依存しているテクノロジーはありますか?
これは広すぎるかもしれませんが、開始点があれば非常に役立ちます。ただし、特定の質問のために、おそらくそれを置くのに良い方法は次のようになります。仮想ネットワークセキュリティ製品は、ネットワークトラフィックをセグメント化する目的で、少なくとも従来のVLANと同じくらい優れていると思いますか?
概念としてのVLANは、テクノロジーまたはソリューションの実装によって、安定して一定のままです。中心的な概念は、ネットワーク間の境界の論理セットを定義することです。言うように信頼のライン。その実装はさまざまであり、これがリスクの原因です。
VMwareプラットフォームで実行されているubuntuについて知っている場合は、 vconfig などのコマンドを使用してvlanを定義できます。用途に応じて;仮想マシンはデュアルホームです(2)NICカードはDMZにあります。接続してデータを転送するには2つのVLANが必要になる場合があります。
物理スイッチと同じように。トランクリンクが伝送できるVLAN IDをフィルタリングまたは定義したい。たとえば、ftpサーバーのvlanが、ftpサーバーのトラフィックだけを伝送して、他に何も伝送しないようにする必要があります。
VLAN間ルーティングの場合、セキュリティ要件に基づいてパケットをフィルタリング/ドロップするために、レイヤー3ルーターでインテリジェントポリシーを定義する必要があります。たとえば、ftpファームにアクセスする非ftpユーザーの場合。非標準FTPポートへの着信トラフィックもドロップされます。
最終的にどれだけの仮想化環境が存在しても、組織環境の物理スイッチ/ルーターを経由する必要があります。これは、真の制御/チェックが適用される場所です。
VLANの保護はかなり一般的で、シスコアカデミア(ccnaクラスなど)の場合は逆になります。 ここから から開始できます。このリンクでは、VLANホッピングなどのVLANプロトコルへの攻撃と、リスクを軽減するために何ができるかについて説明します。