web-dev-qa-db-ja.com

仮想マシンでファイアウォール/ルーターを実行することをお勧めしますか?

グーグルで、ファイアウォール/ルーターを仮想マシンとして実行することは「危険」であると私に言われましたが、それがなぜそうであるかについての理由はありません。また、仮想マシンのようにファイアウォールを正常に実行している人々からの投稿も見つかりました。

誰かこれについて何か経験がありますか?

Proxmox対ob物理マシンのような仮想マシンでファイアウォール/ルーターを実行することの長所と短所は何ですか?

9
Nithin

セキュリティが最重要事項である場合、物事を行うための正しい方法は、アプローチ方法の逆です。ベアメタルでルーター/ファイアウォールを実行し、標準のデスクトップまたはサーバーで使用するためにその内部にVMをホストします。

私のくだらないMSペイントのイラストを許してください。

enter image description here

VMのNICとLAN NICを(ベアメタルOSから)ブリッジする場合、ファイアウォールまたはルーティングの目的で、これらは同じ「LAN」インターフェースとして表示できます。

セキュリティ上の問題のほとんどは、実行中にコンソールにアクセスしてルーター/ファイアウォールVMを無効にするか、NICからVMへのブリッジ/バインド解除を無効にすることです-または、誰かがシステムにリモートアクセスしてそれを行う場合。いつものように、悪意のあるソフトウェアが奇妙なことをする可能性があります。


これを行うことができ、必要に応じて任意のVMソフトウェアを使用できますが、ESXなどを使用する場合、コンソールから直接アクセスするのではなく、デスクトップVMにRDPする必要があるという欠点があります。

enter image description here

11
LawrenceC

特定のハードウェアベースで「仮想ファイアウォール」を提供するCheck Point以前の「VSX」システムのような商用製品があります。 VMWareまたはそれより優れたクラウドベースのファイアウォールについて話す場合。クラウドの「内部」にファイアウォールを設定して、クラウドと別のネットワーク間の通信ではなく、「内部」のクラウド「ネットワーク」をセグメント化します。

パフォーマンスは非常に限られており、クラウドでのパフォーマンスは共有されます。 asicベースのファイアウォールは500GBpsを超えることができます。 VMwareベースのファイアウォールまたはスイッチは、20GBps未満です。ステートメントにLAN NICは、ワイヤーからインフルエンザにかかる可能性があります。また、スイッチ、ルーター、ipsなどの中間デバイスも、in-transit-trafficに悪用される可能性があると述べることができます。

これは「不正な」パケット(フレーム、フラグメント、セグメントなど)で見られます。したがって、「中間」デバイスを使用すると安全ではないと述べることができます。また、BSIと呼ばれるドイツのNISTは、数年前に仮想ルーター(VDC(仮想デバイスコンテキスト-Cisco Nexus)など)とVRF(仮想ルート転送)は安全でないと述べました。観点から、リソースを共有することは常にリスクです。ユーザーはリソースを悪用し、他のすべてのユーザーのサービス品質を低下させる可能性があります。全体がグローバルにVLANおよびオーバーレイテクノロジー(VPNやMPLSなど))を問題にします。

セキュリティに対する要求が非常に高い場合は、専用ハードウェアと専用ネットワーク(専用回線を含む)を使用します。一般的なシナリオで、ハイパーバイザー(特にベアメタル)が特別なセキュリティ問題であるかどうかを尋ねると...いいえ。

3
user306846

通常、仮想マシンはブリッジ接続を介してネットワークに接続されます(つまり、ネットワークは、仮想マシンが実行されている物理コンピューターを通過します)。 VMをファイアウォールとして使用することは、すべてのトラフィックが物理コンピューターに入ることができることを意味し、パケットはVMに送信され、フィルターにかけられてから、物理コンピューターに送り返されます。物理コンピュータは、フィルタリングされていないパケットを取得でき、パケットをネットワークの残りの部分に配信します。これは、フィルタリングされていないパケットをネットワークの周りに送信するために悪用されます。

2
Hugo Buff