четверг, 24 июня 2010 г.

Security: сеть для VMotion / Fault Tolerance / IP Storage

Как построить безопасную сеть и как распределить VLAN'ы и физические адаптеры?

Прежде всего нужно подчеркнуть особенности VMotion, Fault Tolerance и IP Storage трафика - он нешифрованный и передается в прямом виде. Что из этого следует?

Все три типа трафика должны быть изолированы от общей сети, в которую входит VM Network. Кстати, это и к вопросу о выборе между ESX Software iSCSI и Guest Software iSCSI. При прослушке трафика можно получить в прямом виде состояние оперативной памяти (VMotion) вместе с ключами и паролями/хэшами паролей, и дисковый ввод/вывод вместе с ценными данными.

Отделение всех трех типов трафика от общей сети является ключевым моментом в предотвращении атаки. Хорошо, но нужно ли разделять их между собой? Строго говоря, рекомендуется. Проведу простую аналогию - стоит ли хранить патроны и оружие в одном сейфе или в разных, чтобы обезопасить детей? Будет значительно труднее собрать оружие и выстрелить при разных сейфах.
С другой стороны, ответ на этот вопрос сильно зависит от степени ценности данных. В общем случае особого беспокойства нет, и все три типа трафика можно комбинировать на одном физическом коммутаторе или даже в одном VLAN. Более того, подобная конфигурация может сохранить нам порты и упростить конфигурацию. При полном отделении трафика на физическом уровне требуется как минимум три физических порта, но их ведь нужно еще и резервировать -> уже 6 портов. Пожертвовав полным физическим отделением, можно обойтись всего 3мя - поставив их по кругу для всех 3-х VMkernel в active / standby.

Комментариев нет:

Отправить комментарий