私はさまざまなネットワークデバイス(ファイアウォール管理インターフェイス、サーバーRAC、WAP管理インターフェイスなど)のすべての管理インターフェイスを配置する管理VLANのセットアップを検討しています。
そのmgmt vlanへのアクセスに関するベストプラクティスは何ですか?たとえば、IT管理者として、私のワークステーションはビジネスネットワーク上にのみあります-しかし、mgmtインターフェイスを介してファイアウォールにアクセスする必要がある場合、管理ネットワーク専用に使用するNICまたは、特定のIP(ワークステーション)のみがmgmtネットワークにアクセスできるようにするACLを作成する必要がありますか?
このセットアップを見た1つの方法は、合理的なアプローチのように思われましたが、単一のホストから管理LANへのアクセスを許可し、誰でもrdpまたはsshを介してそのデバイスにアクセスし、そこから管理ネットワークにアクセスする必要があります。
このアプローチの利点は、スキャンに関する管理ネットワークの可視性が低下することですが、複数のNICソリューションの場合のように特定のホストからのアクセスに縛られることはありません。
もう1つの利点は、ゲートウェイホストのアクティビティを監査することにより、管理LAN内のデバイスで実行されるアクションを簡単に監査できることです。
もちろん、そのホストの保護は、ホストに接続する管理者の認証とアクティビティの監査の両方の観点から非常に重要になります。