LAN上の仮想ホスト(DMZ上のVM、個別のNIC)これは悪い考えですか?
このアイデアを思いついただけで、私が見ない問題を指摘するほど親切になるかどうかを確認したかったのです。
この新しいHyperVホストを通常のドメインメンバーとして設定すると、メリットは明らかです。私はSCVMMを介してそれを管理でき、独自のNICを持っているので、トラフィックは理論的には汚い、汚いDMZ NIC VMはを使用します。
明らかに、ホストをそれらから完全に分離するために、仮想ネットワークをプライベートとして設定したいと思います。私はこれに関するドキュメントを信頼しています-それはナイーブですか?
LANとDMZの両方を同じ物理ボックスに接続することを考えるとTwitchになるので、私は物事を考えすぎている可能性がありますが、具体的な理由はありません。
あなたの考えをありがとう。
主なリスクは、誰かがVMから抜け出し、ホストを攻撃することを可能にするエクスプロイトです。 これは以前にVMWareで発生しました です。したがって、これはDMZは、完全に分離されたマシンよりもLANのリスクが高くなりますが、それが愚かだとは言えません。実際にどれだけ安全である必要があるかによって異なります...
また、これはもう少し「複雑」に聞こえるので、何かを見落としがちになる可能性があることも考慮に入れてください。私は、エクスプロイトよりも管理上のミスのために、より多くのセキュリティがハッキングされているに違いありません。
もう1つ考えるべきことは、監査を受ける可能性のある場所/業界で働いているかどうかです。この方法の安全性がそれほど高くない場合でも、DMZと同じ物理サーバー上にあるLANに関するBS監査ルールがある可能性があります。
現在、このようなサーバーをいくつか実行しています(ただし、VMWareを使用しています)。基本的に、さまざまなネットワークで実行されているホストゲストマシンの物理ボックス。各ネットワークには、独自の物理NICが割り当てられています。カイルが述べたように、これは間違いなく問題です。私たちが採用したアプローチは、仮想ハッキングの潜在的な影響を考慮して、ゲストマシン上のOSを保護するために私たちの邪魔にならないというものです。パブリックにアクセス可能なすべてのゲストOSは、セキュリティの脆弱性についてサードパーティの監査によって毎日スクリーニングされるため、そもそも誰かがゲストに侵入するのを防ぐことができます。さらに、最初にDMZに入るトラフィックをロックダウンするために、広範なファイアウォールルールを設定しました。残念ながら、これは現時点でその種の構成で取得できるのと同じくらい安全です。