4 votes

Mark avatar

Architecture réseau de machine virtuelle, Isoler les réseaux publics et privés

Demandé el 22 de Mai, 2010
Quand la question a-t-elle été
1042 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis à la recherche de conseils sur les meilleures pratiques pour l'isolation du trafic réseau dans un environnement virtuel, plus précisément sous VMWARE ESXi.

Actuellement, j'ai (en test) 1 serveur matériel exécutant ESXi mais je prévois d'étendre cela à plusieurs équipements.

La configuration actuelle est la suivante:

1 VM pfsense, cette VM accepte tout le trafic extérieur (WAN/internet) et effectue des fonctions de pare-feu/redirection de port/NAT. J'ai plusieurs adresses IP publiques envoyées à cette VM qui sont utilisées pour accéder à des serveurs individuels (via des règles de redirection de port par adresse IP d'entrée). Cette VM est connectée au réseau privé (virtuel) sur lequel se trouvent toutes les autres VM. Elle gère également une liaison VPN vers le réseau privé avec certaines restrictions d'accès. Ce n'est pas le pare-feu périphérique mais plutôt le pare-feu uniquement pour ce pool virtuel.

J'ai 3 VM qui communiquent entre elles, ainsi que des exigences d'accès public:

1 serveur LAMP exécutant un site de commerce électronique, accessible sur internet public

1 serveur de comptabilité, accès via les services RDS de Windows Server 2008 pour un accès distant par les utilisateurs

1 serveur de gestion des stocks/entrepôts, VPN vers les terminaux client dans les entrepôts

Ces serveurs communiquent constamment entre eux pour la synchronisation des données.

Actuellement, tous les serveurs sont sur le même sous-réseau/réseau virtuel et connectés à internet via la VM pfsense. Le pare-feu pfsense utilise la redirection de port et le NAT pour permettre l'accès extérieur aux serveurs pour les services et pour permettre aux serveurs d'accéder à internet.

Ma principale question est la suivante:

Y a-t-il un avantage en termes de sécurité à ajouter un deuxième adaptateur réseau virtuel à chaque serveur et à contrôler le trafic de sorte que toute communication serveur à serveur se fasse sur un réseau virtuel séparé, tandis que tout accès au monde extérieur est routé via l'autre adaptateur réseau, à travers le pare-feu et vers internet.

C'est le type d'architecture que j'utiliserais si ces étaient tous des serveurs physiques, mais je ne suis pas sûr si les réseaux virtuels modifient la manière dont je devrais aborder la sécurisation de ce système.

Je vous remercie pour toute réflexion ou orientation vers toute documentation appropriée.

Demandé el 22 de Mai, 2010 par Mark

Réponses

Trop de publicités?

1voto

Dewayne avatar
Dewayne Points 934

Votre configuration actuelle est bonne. Les données du commutateur privé ne sont accessibles que par l'une des machines qui y sont connectées. Vous avez un accès limité donc vous devriez être en sécurité. Si vous voulez faire quelque chose, vous pourriez éventuellement ajouter une deuxième cartes réseau à PF Sense vers un autre commutateur virtuel privé pour essentiellement avoir une zone démilitarisée mais ce n'est pas nécessaire et un peu excessif. Vos résultats peuvent varier..

Répondu el 17 de Janvier, 2011 par Dewayne (934 Points )

0voto

user48838 avatar
user48838 Points 7385

Seulement si vous voyez des avantages à séparer le trafic "inter-serveur" du trafic "accès client", sinon vous avez déjà un réseau "privé"/"protégé" avec votre arrangement actuel.

Répondu el 24 de Juillet, 2010 par user48838 (7385 Points )

0voto

Samuel avatar
Samuel Points 21085

En séparant le trafic VM, vous pouvez également bénéficier de ne pas saturer un seul réseau.

Répondu el 15 de Janvier, 2011 par Samuel (21085 Points )

0voto

whizkid avatar
whizkid Points 355

Cependant, votre configuration actuelle semble correcte, je vous suggère d'ajouter un autre adaptateur réseau pour éviter toute augmentation future de l'utilisation de la bande passante.

Répondu el 21 de Janvier, 2011 par whizkid (355 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X