Segmentazione del traffico di rete virtuale

5

Ho una comprensione da base a moderata delle VLAN e dei loro pro e contro in quanto riguardano la segmentazione della rete, ma mi chiedo da dove iniziare quando ci si muove in ambienti virtualizzati.

Da un punto di vista della sicurezza, in che modo la segmentazione VLAN tradizionale resiste a prodotti / soluzioni focalizzati su ambienti virtuali, come il prodotto vCloud Networking and Security di VMWare? Quando lavori con le VM collocate su quali strategie / tecnologie fai affidamento per segmentare il traffico VM?

So che potrebbe essere eccessivamente ampio, ma qualsiasi punto di partenza sarebbe estremamente utile. Per il bene, però, una domanda specifica, forse un buon modo per dirla: consideri che i prodotti di sicurezza della rete virtuale siano almeno altrettanto validi delle VLAN tradizionali allo scopo di segmentare il traffico di rete?

    
posta Univ426 06.03.2013 - 17:46
fonte

2 risposte

1

VLANS come concetto rimane stabile e costante con l'implementazione di una tecnologia o di una soluzione. Il concetto fondamentale è definire un insieme logico di confine tra reti; una linea di fiducia come dire. È l'implementazione che varia e questo è dove risiede il rischio.

Se conosci Ubuntu su una piattaforma vmware puoi definire vlans usando comandi come vconfig . A seconda dell'uso; la tua macchina virtuale è dual homed avere (2) schede NIC che siedono in DMZ può richiedere due vlans per connettersi e trasferire dati.

Proprio come in un interruttore fisico; si desidera filtrare o definire l'id di vlan che un collegamento trunk può trasportare; per esempio non vuoi che il server FTP vlan trasporti solo il traffico per i server ftp, non altro.

Per il routing inter-vlan è necessario definire criteri intelligenti sul router layer 3 per filtrare / eliminare i pacchetti in base ai requisiti di sicurezza. Ad esempio, per utenti non-ftp che accedono alla farm ftp. Anche il traffico in entrata verso porte ftp non standard viene interrotto.

Indipendentemente dalla quantità di ambiente virtualizzato che si può avere, è necessario passare attraverso switch / router fisici dell'ambiente aziendale. È qui che dovrebbero applicarsi veri controlli / controlli.

La protezione di vlan è abbastanza comune e ben invertita in caso di cisco academia (ad esempio classi ccna). Puoi iniziare da qui. . Questo collegamento discute gli attacchi al protocollo vlan, ad esempio "vlan hopping" e cosa si può fare per mitigare il rischio.

    
risposta data 06.03.2013 - 18:34
fonte
0

Bene, l'intero concetto di VLAN è lo stesso sia in fisica che in virtuale. Ma l'utilizzo della VLAN è in qualche modo diverso:

  1. Quando ti trovi in un ambiente non virtuale (fisico) puoi utilizzare la VLAN per isolare diversi tipi di traffico basati su diversi criteri per es. dipartimento, posizione e tipo di dati e in tale casi viene utilizzato switch fisico .
  2. Ad esempio, in un ambiente virtuale come VMware, in genere ne abbiamo alcuni traffici specifici come Management, ISCSI, NFS, vMotion ecc devi usare la VLAN per separare in base a questo tipo di traffico. Qui, vengono utilizzati due switch virtuali: "switch standard", "distributed cambia "riguardo ai nostri scenari.

IMHO, si dovrebbe avere una buona comprensione dei concetti fondamentali e anche degli scenari del mondo reale. Spero che possa darti qualche indizio per le tue domande.

    
risposta data 06.03.2013 - 21:38
fonte

Leggi altre domande sui tag