web-dev-qa-db-ja.com

VMWareESXiホストのNICに5つのうち1つDMZ)を入れてください-いい考えですか?

合計5つのNICを持つESXiホストが実行されています。これまでは、内部ネットワークのVMのみをホストしていました。ネット上のユーザーがインターネット(プロキシ)を閲覧できるようにファイアウォールもあります。ファイアウォールはUTMアプライアンスであり、DMZポートもあります。1つのVM)にWebサーバー(または同様のもの)を配置して作成することもできると思いました。この仮想サーバーは、ファイアウォールのNICポートに接続されているESXiで専用のDMZを1つ取得します。これは良いことでしょうか。このシナリオに対する(セキュリティ関連の)考慮事項はありますか?別個のNICであるため、vCenter上で独自のvSwitchを取得し、内部ネットへの物理接続はありません。 vCenterはホスト全体を管理し、すべてのNICなどにアクセスできるため、これが最適なソリューションかどうかはわかりません。

3
duenni

もちろん、これは最善の解決策ではありません。理想的には、別のVMホストfor DMZゲストを用意します。ただし、この方法を選択した場合は、考慮すべき点:

  • 最初に明らかなのは、誰かが エクスプロイト を使用してVM刑務所を脱出し、DMZからLANホストを危険にさらす可能性があるためです。reallyは、DMZゲストとホストの両方でパッチに対応し、最高のものを期待します。

  • 構成の間違いは深刻な結果をもたらします。たとえば、あなたまたは他の誰かがDMZとLANの両方でNICをいくつかのホストに割り当てる可能性について考えてみてください。これで、あなたのDMZとあなたのLANは同じことです。もちろん、手順を実行して有能であるだけでこれを防ぐことはできますが、最終的にはより脆弱な環境になってしまうと言うことができます。

とはいえ、DMZをまったく持たないよりはましなので、現在別のホストを使用できない場合は、優れた一時的な解決策になる可能性があります。 DMZゲストを別のホストと実際のネットワークに配置するほど安全ではありません。

6
Eduardo Ivanec

そのアプローチに問題はありません。

私は通常、VLANトランキングを使用して、既存のリンク上でDMZを伝送しますが、完全に完全に分離したい場合は、別のリンクを使用して割り当てますNIC別のvSwitchに。これにより、物事が適切にセグメント化された状態に保たれます。

2
SpacemanSpiff