Kar*_*fia 6 security virtualization dmz
只是提出这个想法,想看看你是否会如此友善地指出我没有看到的问题。
如果我将这个新的 HyperV 主机设置为普通域成员,好处是显而易见的。我可以通过 SCVMM 管理它,并且它有自己的 NIC,所以理论上流量应该与 VM 将使用的肮脏、肮脏的 DMZ NIC 隔离。
显然,我想将虚拟网络设置为专用网络,以将主机与它们完全隔离。我相信这方面的文档——这太天真了吗?
我可能想得太多了,因为一想到将我的 LAN 和 DMZ 都插入同一个物理盒子,我就会抽搐,但我没有任何具体的原因。
谢谢你的想法。
我想说的主要风险是任何允许某人突破 VM 并攻击主机的漏洞。 这在 VMWare 之前发生过。因此,与完全隔离的机器相比,这会使您的 LAN 面临更高的 DMZ 风险,但我也不会说这很愚蠢。只取决于它真的必须有多安全......
还要考虑到这听起来有点“复杂”,因此您可能更有可能忽略某些内容。我敢打赌,由于管理错误而不是漏洞利用,更多的安全性被黑客入侵。
要考虑的另一件事是,您是否在可能需要审计的地方/行业工作。即使这种方法确实不那么安全,也可能存在一些关于驻留在同一物理服务器上的 DMZ 和 LAN 的 BS 审计规则。
| 归档时间: |
|
| 查看次数: |
2208 次 |
| 最近记录: |