Следует ли фильтровать частную виртуальную локальную сеть

Question

Следует ли фильтровать частную виртуальную локальную сеть

Я - разработчик, пытающийся изучать другие вещи, и моя текущая цель - создать "виртуальную" сеть на хосте ESXi.

Я создал виртуальную машину, которая работает в качестве шлюза локальной сети в глобальную сеть, и несколько виртуальных машин, которые находятся исключительно в локальной сети.

Я настроил свои iptables, и я могу получить доступ к WAN из каждой виртуальной машины LAN, я также могу получить доступ к серверу Apache на виртуальной машине LAN из WAN.

Моя конфигурация кажется правильной, и по умолчанию моя политика на DROP, и я принимаю от WAN только требуемые пакеты.

Мой вопрос о локальной сети,

Я проиллюстрирую на примере:

Со своего компьютера в сети WAN я могу подключиться к SSH по виртуальной машине VM1 (которая является мостом между глобальной сетью и локальной сетью), а из VM1 - по виртуальным машинам локальной сети SSH.

Должен ли я принять, что из виртуальной машины локальной сети (кроме VM1) я могу использовать SSH для другой виртуальной машины локальной сети?

Я взял SSH в качестве примера, но вопрос в том, стоит ли мне использовать Policy DROP для каждой виртуальной машины и вручную принимать то, что мне нужно, даже на локальной сети.

Фильтрация входных данных WAN может помочь в решении проблем вторжения, но нужна ли фильтрация локальной сети, чтобы избежать проникновения между виртуальной машиной и другой?

1

iptables firewall virtual-network

Источник

Grégory L 21 ноя '18 в 12:42

1 ответ

Другие вопросы по тегам iptables firewall virtual-network

John Mahowald 21 ноя '18 в 16:21 2018-11-21 16:21 · Answer 1 · 2018-11-21 16:21

нужна ли фильтрация локальной сети, чтобы избежать проникновения одной виртуальной машины в другую?

Разрешение бокового движения - это политическое решение, которое вы принимаете. Как правило, отказ в трафике, который не нужен, повышает безопасность. Модные условия для этого - микросегментация и сети с нулевым доверием.

Для обзора безопасности сети VM посмотрите NIST SP 800-125B Безопасная конфигурация виртуальной сети для защиты виртуальной машины (VM). Здесь упоминаются брандмауэры, VLAN и оверлеи. Обратите внимание, что полная картина сетевой безопасности выходит за рамки одной виртуальной машины.

VMWare будет рада рассказать вам, как их продукт NSX выполняет микросегментацию. Из-за центральной политики вы можете утверждать, что VM1 может общаться с WAN и одним другим хостом, но ни с кем другим. Существуют альтернативы, просто утверждающие, что конфигурации брандмауэра не нужно создавать вручную.