Est-il recommandé d'exécuter un pare-feu / routeur sur une machine virtuelle?
Googling m'a trouvé que des gens qui disent d'exécuter un pare-feu/un routeur comme une machine virtuelle est "dangereux", mais aucun d'entre eux ne donne une raison pour laquelle c'est le cas. J'ai également trouvé des postes de personnes qui exécutent avec succès des pare-feu comme sur une machine virtuelle.
Quelqu'un a-t-il une expérience avec cela?
Quels seraient les avantages ou les inconvénients d'avoir exécuté un pare-feu/routeur sur une machine virtuelle dans quelque chose comme Proxmox vs ob sur une machine physique?
Vraiment la bonne façon de faire des choses est le contraire de la façon dont vous approchez, si la sécurité est une préoccupation primordiale. Vous voudriez exécuter le routeur/pare-feu sur le métal nu et l'hôte a VM dans celui pour l'utilisation de bureau ou de serveur standard.
Pardonnez-vous mon illustration de peinture ms malée.
Si vous combliez la machine virtuelle NIC et le réseau local NIC (à partir du système d'exploitation métallique nu), ils peuvent apparaître comme la même interface "LAN" aux fins du pare-feu ou du routage.
La plupart des problèmes de sécurité seraient si une personne montait à la console lorsqu'elle est en cours d'exécution et désactivez votre routeur/pare-feu VM ou désactiver la pontage/engourdi votre NICVM - ou si quelqu'un devait se distinguer dans le système et le faire. Comme toujours, ce logiciel malveillant pourrait faire quelque chose de louche.
Vous pouvez le faire et utiliser n'importe quel logiciel VM si vous le souhaitez, mais l'inconvénient est si vous utilisez quelque chose comme ESX, vous aurez besoin de RDP dans le bureau VM au lieu de directement. Accéder via la console.
Il existe des produits commerciaux tels que l'ancien point de contrôle des systèmes "VSX" qui servent des "pare-feu virtuels" sur une base matérielle donnée. Si nous parlons de VMware ou du pare-feu basé sur un meilleur nuage. Vous configurez un pare-feu "dans" le cloud pour segmenter le réseau "Cloud" interne "Network", pas la communication entre un nuage et un autre réseau.
La performance est très limitée et la performance dans un cloud est partagée. Un pare-feu basé sur l'ASIC peut faire> 500 Gbps. Un pare-feu ou un commutateur basé sur VMware fait <20 Gbbps. Pour la déclaration LAN NIC peut attraper une grippe du fil. Vous pouvez également indiquer que tout dispositif intermédiaire tel que le commutateur, le routeur, IPS pourrait également être exploité par le trafic en transit.
Nous voyons cela dans des paquets "mal formés" (cadres alias, fragments, segments, etc.) afin que l'on puisse indiquer à l'aide d'appareils "intermédiaires" n'est pas sûr. De plus, le Nist allemand appelé BSI a déclaré il y a quelques années que les routeurs virtuels (comme VDCS (contexte de périphérique virtuel - Cisco Nexus) et VRF (transfert de la route virtuelle) est insécurisé. D'un point de vue, le partage des ressources est toujours un risque. L'utilisateur peut exploiter des ressources et réduire la qualité de service pour tous les autres utilisateurs. Ce qui placerait globalement l'ensemble VLAN et des technologies de superposition (comme VPN et MPLS) en question.
Si vous avez des exigences vraiment élevées sur la sécurité, j'utiliserais du matériel dédié et du réseau dédié (y compris des lignes dédiées!) Si vous demandez si l'hyperviseur (en particulier dans le métal nu) est un problème de sécurité spécial dans un scénario commun ... je dirais que je dirais non .
En règle générale, une machine virtuelle est connectée au réseau via une connexion pontée (c'est-à-dire la mise en réseau traverse l'ordinateur physique qu'il marche). Utiliser VM comme un pare-feu signifie que tout le trafic peut entrer sur l'ordinateur physique, les paquets sont envoyés à la machine virtuelle, filtrés puis envoyés à l'ordinateur physique. Depuis le L'ordinateur physique peut prendre des paquets non filtrés et est responsable de la distribution des paquets au reste du réseau, il est exploitable d'envoyer des paquets non filtrés autour du réseau.