私はubuntuサーバーボックスで pfsense を使用することを考えています。私はvirtualboxを使用してpfsenseを仮想化し、サーバーと残りのLANの両方に送信されるすべてのトラフィックをルーティングし、ファイアウォールで保護します。
ただし、専用ボックス以外でpfsenseを使用すると、セキュリティ上のリスクが生じると聞いています。これはなぜですか、そしてこれは本当に問題ですか?
テオや他の人々はそれらの線に沿って主張することができますが、歴史はそれが重大な懸念ではないことを示唆しています。セキュリティ研究者は何年もの間ハイパーバイザーの脆弱性を探していましたが、概して、少なくとも主要な繰り返しの脆弱性から無傷で逃れてきました。完全ではありませんが、セキュリティ上の理由から物理ハードウェアにパッチを適用する必要がない場合は、必要に応じてハイパーバイザーにパッチを適用する必要がありますが、実際には大きな違いがあることは証明されていません。
それは一般的にホームネットワークの質問を超えています。ハイパーバイザー、主にESXで実行されている多数の重要な本番pfSenseインストールがあります。 * .pfsense.orgホスティングインフラストラクチャには、仮想ファイアウォールを厳密に実行する4つのコロデータセンターがあります。高価なサーバーをファイアウォール専用にすることなく、必要に応じてCPUパワー、RAMなどをスケールアップでき、履歴に基づいてハイパーバイザーのセキュリティについては気にしないので、気に入っています(ただし、新しい開発に注意してください)。 。
ハイパーバイザーのホストOSがIPをNIC)にバインドできないように注意する必要があります。これは、フィルタリングされていないインターネット接続に接続されます。これは、エッジファイアウォールをVMとして実行する際の重大なリスクです。物理ケーブルを間違った場所に接続するよりも、ハイパーバイザーのネットワークを台無しにする方が簡単です。
ただし、専用ボックス以外でpfsenseを使用すると、セキュリティ上のリスクが生じると聞いています。これはなぜですか、そしてこれは本当に問題ですか?
OpenBSDプロジェクトのこれまでに割り当て可能な Theo de Raddt には、この考え方の背後にある答えがあります。
セキュリティホールのないオペレーティングシステムやアプリケーションを作成できないソフトウェアエンジニアの世界的なコレクションが、セキュリティホールのない仮想化レイヤーを突然作成できると考えると、愚かではないにしても、絶対に惑わされます。
仮想化プラットフォーム上のネットワークでセキュリティの役割を果たすサーバーまたはアプライアンスを実行しないという推奨事項は、安全なネットワークとシステムを設計する際の基本原則である機能の分離に要約されます。理想的には、システム内の各デバイスまたは要素が1つの機能的役割を持つ必要があります。これにより、攻撃対象領域が減少し、構成とトラブルシューティングがはるかに簡単になります。仮想化プラットフォーム上でファイアウォールを実行する場合、ファイアウォールを安全に構成するだけでなく、仮想マシンモニターと基盤となるホストオペレーティングシステムも構成する必要があります。
現実の世界では、さまざまな理由で完全な機能分離を実現することはできませんが(限られたリソースが明らかな理由です)、私たちは目指すことができます。また、仮想マシンでファイアウォールを実行することは絶対に悪いことではないと思いますが、私はそれに対して強い嫌悪感を持っています。リスク環境と利用可能なリソースについて慎重に検討し、知識と文書化された決定を下してください。
Linuxで仮想化されたpfSenseインスタンスをKVMで何年も使用しています。これは、pfSenseゲストに加えてホストのセキュリティについて心配する必要があるという点でのみ安全性が低くなります。 VMホストは、攻撃者が少なくともゲストVMをシャットダウン/強制終了し、最悪の場合、それらを完全に制御できるようにします。