ESX 3.5 med flere nettverkskort. (Sikkerhet).

[oblivian]

Heisann,

 

Jeg har bare et lite spørsmål: Jeg kjører ESX 3.5 på en server med flere nettverkskort. Hvordan er det i forhold til sikkerhet å kjøre et nettverkskort på LAN og et annet i DMZ? ESX tillater ingen trafikk mellom kortene, eller?

 

Obi

[wsp]

Hei Obi,

Hvis du tilegner disse kortene til hver sin virtuelle switch og det ikke er noen virtuelle maskiner som har virtuelle nettkort på begge disse nettverkene så vil du ikke ha noen ruting i mellom dem. Den virtuelle switchen i ESX er en lag2-switch, dvs at den ikke har noen rutingfunksjonalitet eller spesielt forhold til ip-adresser. Det du imidlertidig kan gjøre hvis du har mange nettkort er å tilegne x antall kort til en virtuell switch. Dermed vil nettverkstrafikken mot de virtuelle maskinene på denne switchen bli lastbalansert (+failover) uten at du trenger å gjøre noe med hvert enkelt maskin.

 

Når det gjelder det opprinnelige spørsmålet ditt i forhold til sikkerhet så eksisterer det ikke per i dag ingen exploits som kan muliggjøre trafikkflyt mellom separate nettverk på en ESX-server. Likevel skal vi ikke utelukke at det en gang i fremtiden på en eller annen måte kan dukke opp slike hull så det avhenger også av hvor kritiske data du har på de ulike systemene dine. Det er også enkelte miljøer som kjører separate ESX-farmer for sine DMZ-nettverk. Men det er egentlig ganske vanlig å bruke noen kort til DMZ og andre til interne nettverk på samme server.

 

Se også:

Security Design of the VMware Infrastructure 3 Architecture

VMware Infrastructure 3 Security Hardening

Best Practices for VMware ESX Server 3

 

Lykke til!

 

Lars

[oblivian]

Hei Lars,

 

Takk for svar. Akkurat det jeg lurte på. :-)