가상 머신에서 방화벽 / 라우터를 실행하는 것이 좋습니다?
답변:
보안이 가장 중요한 관심사라면 실제로 올바른 일을하는 방법은 접근하는 방식과 반대입니다. 베어 메탈에서 라우터 / 방화벽을 실행하고 표준 데스크톱 또는 서버 사용을 위해 VM을 호스팅하려고합니다.
내 엉터리 MS 페인트 그림을 용서하십시오.
VM의 NIC와 LAN NIC (베어 메탈 OS에서)를 브리지하는 경우 방화벽 또는 라우팅을 위해 동일한 "LAN"인터페이스로 나타날 수 있습니다.
대부분의 보안 문제는 이것이 실행되는 동안 누군가가 콘솔로 올라가서 라우터 / 방화벽 VM을 비활성화하거나 VM에서 NIC를 브리징 / 바인딩 해제하지 못하거나 누군가가 시스템에 원격으로 연결되어있는 경우에 발생합니다. . 항상 그렇듯이 악성 소프트웨어가 엉뚱한 일을 할 가능성이 있습니다.
이 작업을 수행하고 원하는 경우 VM 소프트웨어를 사용할 수 있지만 ESX와 같은 것을 사용하는 경우 콘솔을 통해 직접 액세스하는 대신 데스크톱 VM에 RDP를 사용해야합니다.
특정 하드웨어 기반에서 "가상 방화벽"을 제공하는 Check Point former "VSX"시스템과 같은 상용 제품이 있습니다. VMWare 또는 더 나은 클라우드 기반 방화벽에 대해 이야기한다면. 클라우드와 "네트워크"간의 통신이 아닌 "내부"클라우드 "네트워크"를 분할하기 위해 클라우드에 "방화벽"방화벽을 설정했습니다.
성능은 매우 제한되어 있으며 클라우드의 성능은 공유됩니다. asic 기반 방화벽은> 500GBps를 수행 할 수 있습니다. VMware 기반 방화벽 또는 스위치는 <20GBps를 수행합니다. 성명서에 LAN NIC는 전선에서 독감을 잡을 수 있습니다. 또한 스위치, 라우터, ips와 같은 중간 장치도 전송 중 트래픽에 의해 악용 될 수 있다고 언급 할 수 있습니다.
우리는 이것을 "잘못된"패킷 (일명 프레임, 프래그먼트, 세그먼트 등)에서 볼 수 있습니다. 따라서 "중간"장치를 사용하는 것은 안전하지 않습니다. 또한 BSI라는 독일의 NIST는 몇 년 전에 가상 라우터 (VDC (Virtual Device Context-Cisco Nexus))와 VRF (Virtual Route Forwarding)가 안전하지 않다고 언급했습니다. 관점에서 볼 때 리소스 공유는 항상 위험합니다. 사용자는 다른 모든 사용자의 리소스를 이용하고 서비스 품질을 낮출 수 있습니다. 전체 VLAN 및 오버레이 기술 (VPN 및 MPLS와 같은)을 전 세계에 배치하는 것은 어느 것입니까?
보안에 대한 요구가 높으면 전용 하드웨어와 전용 네트워크 (전용 회선 포함)를 사용합니다. 하이퍼 바이저 (특히 베어 메탈)가 일반적인 시나리오에서 특별한 보안 문제인지 묻는 경우 ... 아니요라고 대답합니다. .
일반적으로 가상 시스템은 브리지 연결을 통해 네트워크에 연결됩니다 (즉, 네트워킹은 실행중인 실제 컴퓨터를 통해 진행됨). VM을 방화벽으로 사용한다는 것은 모든 트래픽이 물리적 컴퓨터로 들어오는 패킷을 VM으로 보내고 필터링 한 다음 물리적 컴퓨터로 다시 보냅니다. 실제 컴퓨터는 필터링되지 않은 패킷을 취할 수 있고 패킷을 나머지 네트워크에 분배하는 역할을하므로 필터링되지 않은 패킷을 네트워크 주위로 전송하는 데 이용할 수 있습니다.