Devo usare un firewall anche se sono su un vlan privato all'interno di un data center?

Naviga le tue risposte
1

Lavorando sulla creazione di una nuova infrastruttura e voglio configurare tutto in modo che sia sicuro come deve essere, ma non voglio preoccuparmi troppo di aggiungere ulteriori complessità non necessarie. È una buona idea bloccare il traffico di rete privato sull'interfaccia privata con il centro dati, o non servirebbe a niente?

L'unica ragione per cui ritengo che sarebbe bello è mitigare i danni, se un utente entra in un server vogliamo solo che siano in grado di rimanere lì e non SSH in altri server correlati.

    
posta Matthew Salsamendi 28.10.2013 - 16:06
fonte

2 risposte

3

Sembra che tu abbia risposto per lo più alla tua stessa domanda. L'unica protezione che un firewall può dare, su una rete isolata, proviene da computer / utenti della stessa rete. Il tuo firewall non ti proteggerà dagli hacker di Internet: la natura isolata della tua rete lo fa già.

Ciò che ti proteggerà da utenti malintenzionati o software installato su altri sistemi all'interno della tua rete isolata. Come dici tu, questo può aiutare a impedire a un utente su un sistema di connettersi ad altri sistemi tramite SSH. Aiuterà anche a proteggerti nel caso in cui uno dei tuoi sistemi venga infettato da un worm che tenta di propagarsi automaticamente attraverso la rete.

Per la massima sicurezza, vuoi che i tuoi sistemi e utenti siano ristretti in modo che siano solo in grado di eseguire azioni che sono assolutamente necessarie per adempiere alla loro funzione aziendale. I firewall sono uno strumento essenziale per implementare queste restrizioni, anche su reti isolate. Tuttavia, spetta a te decidere se il rischio (ad es .: utenti malintenzionati sulla rete o un altro sistema infetto da malware) sia effettivamente abbastanza alto da giustificare la complessità aggiuntiva e il sovraccarico amministrativo dell'utilizzo di tale strumento.

    
risposta data 28.10.2013 - 16:49
fonte
0

Se è possibile implementare un firewall a un costo ragionevole (nel calcolo di spese generali / denaro speso / altro), penso che sia una buona idea.

La privacy della VLAN privata è valida solo quanto la sicurezza fisica e delle informazioni del tuo data center: l'accesso a tale macchina potrebbe essere solo una singola voce della linea di comando dall'esposizione agli altri del tuo data center o a Internet in tutto il mondo. / p>

Idealmente, ci sarebbero altri ostacoli all'accesso; ma, soprattutto, dove non si ha il controllo esclusivo della / e configurazione / i dei sistemi che ti isolano dai sistemi ostili e in cui non si ha il controllo esclusivo del cablaggio (in modo che qualcuno possa - accidentalmente o di proposito - connetti una macchina ad una porta che è inclusa nella tua VLAN privata) - sarebbe bello avere un altro livello di protezione che è nel tuo controllo esclusivo.

    
risposta data 28.10.2013 - 21:44
fonte

Leggi altre domande sui tag

Ottenimento della crittografia End-to-End con TLS Servizi di tempra, porte su OSX