Come sono isolate le macchine virtuali IaaS?

2

Attualmente sto esaminando i firewall Hypervisor per la mia tesi di laurea, ma sfortunatamente non ho molta esperienza con gli ambienti IaaS. In che modo le reti di macchine virtuali IaaS sono isolate l'una dall'altra (se non lo sono)?

I fornitori IaaS si affidano esclusivamente alle VLAN per l'isolamento della rete? Le VM di IaaS sono collegate su una rete per ottenere un IP? Può la maggior parte delle VM di IaaS eseguire il ping di altre VM presenti sullo stesso Hypervisor?

Grazie

    
posta Phanto 09.06.2013 - 02:52
fonte

1 risposta

3

I server IaaS utilizzano gli hypervisor tradizionali che è possibile installare su qualsiasi computer, in genere Xen o KVM (o Hyper-V se si odiano i soldi). Questi in genere si connettono alla rete utilizzando uno dei seguenti:

  • un'interfaccia virtuale interna (TUN / TAP), che puoi quindi collegare o firewall o fare quello che vuoi con il livello host contenente
  • NAT in-process programmatico (improbabile in un'impostazione aziendale)
  • condivisione della scheda di rete (gestita dall'hypervisor)
  • scheda di rete dedicata

Il modello di rete è fino all'implementatore. L'interfaccia TUN / TAP offre la massima flessibilità, dal momento che l'interfaccia di rete della VM si presenta come un'interfaccia altrimenti scollegata nel sistema operativo host. Quando e se inviare pacchetti all'interfaccia virtuale è determinato interamente dal firewall del server host e dalle tabelle di routing. Tuttavia, può essere complicato configurare e andare bene.

Il sistema di condivisione delle schede di rete è probabilmente il più semplice, e quindi il più probabile. In tutto il mondo, sembra che ogni VM abbia un'interfaccia ethernet collegata allo stesso switch. Ma in realtà c'è solo un'interfaccia che ascolta in modalità promiscua, con il sistema operativo host che determina se inviare o meno pacchetti a una determinata macchina virtuale. Il modello di sicurezza è lo stesso che avresti con più server su una singola rete di trasmissione.

Infine, dedicare un'interfaccia a ciascuna VM è la più costosa, ma anche la più semplice da comprendere intuitivamente dal punto di vista della sicurezza. Ogni VM ha una scheda di rete, si collega il cavo corretto nell'adattatore appropriato, e ci si va. Ciò è altamente improbabile da trovare in scala, tuttavia, poiché le modifiche richiedono un intervento manuale.

Per quanto riguarda i modelli di sicurezza in gioco; di nuovo dipende dall'implementatore. I posti più semplici generalmente non forniscono alcuna sicurezza di rete (il server è su Internet, lo gestiscono), ma se forniscono reti private, il loro meccanismo per farlo è il loro segreto. Ci sono solo così tante cose che puoi fare, però, quindi probabilmente puoi indovinare.

    
risposta data 09.06.2013 - 08:10
fonte

Leggi altre domande sui tag