Имеет ли смысл использовать один физический бокс как в DMZ, так и в защищенной зоне

Это примерно такая же дискуссия, как и о выделении целых коммутаторов для сегмента сети или использовании VLAN. Это действительно сводится к вашему уровню комфорта и любых окружающих правил, норм или политики в вашем конкретном бизнесе. Всегда существует риск эксплойта в рамках виртуальной машины, который позволяет ей "выходить из матрицы" и связываться с хост-системой. На сегодняшний день их количество было небольшим, а воздействие минимальным.

Позиция VMWare в отношении таких вещей:

Правда в том, что уязвимости и эксплойты никогда не исчезнут полностью для любого корпоративного программного обеспечения, но ESX замечательно устойчив к таким проблемам. Если это произойдет снова, мы найдем проблему и быстро ее исправим, как мы делали это для CVE-2009-1244.

Я считаю, что использование виртуальных машин из разных сегментов сети на одном и том же хосте является приемлемым. Я стремлюсь провести черту, выделяя отдельные физические ссылки NIC и vSwitch для основных зон (пара сетевых карт для трафика DMZ "Front Zone" и пара для внутреннего трафика "Back Zone"). Это согласуется с интерфейсами, свисающими с основного брандмауэра, поэтому, если у вас есть интерфейс на брандмауэре, выделенный для определенного набора VLAN, у вас есть та же самая группа на vSwitch в виртуальной среде.

В качестве общего обоснования я извлекаю урок из облачных вычислений на этом - многим людям удобно размещать рабочие нагрузки, даже чувствительные, в вычислительных облаках, таких как amazon ec2. Если вас устраивает этот сценарий для рассматриваемой рабочей нагрузки, почему вы не будете чувствовать себя комфортно в своей собственной системе? В облаке ваши клиентские рабочие нагрузки могут выполняться параллельно с любым количеством неизвестных сторонних рабочих нагрузок. В вашей собственной системе это всегда будет гораздо более контролируемым, чем этот сценарий.

Так что это безопасность. На мгновение не обращая внимания на безопасность, другие важные проблемы, вероятно, связаны с коэффициентами консолидации, затратами и эффективностью вашей системы. Если у вас небольшой или средний магазин с несколькими хостами, вы будете вынуждены платить дополнительные расходы, приобретая дополнительные хосты и дополнительные компоненты (пространство в стойке, время внедрения, текущие операционные расходы, расходы на лицензирование). Если у вас уже есть возможности для выполнения всех ваших рабочих нагрузок в существующей инфраструктуре, покупка дополнительного комплекта для реализации физического разделения кажется неоправданной. Однако, если вы большой виртуальный магазин, связанные с этим затраты, вероятно, менее значительны - вы можете просто взять хосты, лицензии и вспомогательные объекты, которыми вы уже владеете и которые обслуживаете, и отделить часть из них, чтобы запустить отдельные сегменты сети.,

У меня был реальный опыт решения этой проблемы не так давно. For a client project, it was decided that everything needed to be run on physically segregated equipment away from the existing infrastructure. It's proven expensive and problematic to maintain and monitor, and if we were doing it over again I'd stamp my foot to have it hosted within the core infrastructure with appropriate VLAN isolation. We really didn't gain anything beyond perhaps making some non-technical folks happy (which is often important!)

На этот вопрос нет окончательного ответа, это зависит от вашей собственной политики и личных соображений безопасности. Конечно, если вы поговорите с Cisco, VMWare или Microsoft об их продуктах Nexus/ESX/Hyper-V, они скажут, что они счастливы, что их продукты будут достаточно безопасными, чтобы сделать это при правильной настройке - однако они не подпишутся это далеко как риск.

Конечно, это зависит от контента и важности этого контента для вашего бизнеса. Лично у меня есть DMZ-хосты, внутренние хосты и защищенные хосты - но мне повезло, у меня есть бюджет на это, и это позволяет мне спать очень легко (если, конечно, MrsChopper3 не пинает меня ночью).

Если вы хотите сделать это, потому что ваш бизнес не будет платить за выделенные хосты уровня, то я лично чувствую себя достаточно довольным безопасностью, включенной в виртуальные коммутаторы гипервизора, но чтобы защитить себя, я бы позаботился о том, чтобы вы документировали этот риск для своего руководства. и дать понять, что это бюджетный компромисс.

Надеюсь это поможет.

На мой взгляд, я думаю, что это лучшее решение.

Интернет - Cisco Firewall - DMZ - Cisco router - Сеть компании