Estaba pensando, ¿por qué no simplemente pongo todas nuestras dos docenas de servidores en VLAN únicas para poder administrar de manera efectiva todas las reglas de firewall entre servidores desde el enrutador? (Yo mantendría los firewalls del sistema operativo ejecutándose como respaldo).
En mis lecturas limitadas, no he visto esto como una recomendación, pero me parece tener mucho sentido. El 99% de nuestros servidores son solo silos: accedes a ellos desde Internet, actualizan sus datos locales y eso es todo. (Sin embargo, necesitan acceso ssh entrante desde nuestra LAN de administración e Internet saliente para obtener actualizaciones). El punto es que la conectividad entre servidores es, con diferencia, la excepción. No hay ninguna razón para tener los servidores en una LAN compartida para facilitar una comunicación inexistente. Tampoco hay razón para dejar cada servidor expuesto a la primera máquina compuesta en la LAN.
¿Qué me estoy perdiendo? ¿Cuál es la desventaja de esta configuración?
Nota al margen, yosoycomenzando con la suposición de que las VLAN están disponibles y son fáciles de implementar. Si tiene un enrutador decente y todas sus máquinas funcionan con hipervisores modernos, esto parece una suposición justa.
Respuesta1
En teoría, puedes hacerlo, pero enviarías todo el tráfico a través del enrutador, lo que lo convierte en un cuello de botella para el tráfico. También crearía una gran cantidad de sobrecarga con muchas interfaces en el enrutador (una por VLAN), muchas listas de control de acceso o lugares separados donde necesita limitar/permitir el tráfico y, en general, probablemente sería un gran desastre. ..
Por lo general, las VLAN se utilizan para contener dispositivos con niveles de seguridad similares, o para contener muchos dispositivos con una función similar (como teléfonos, impresoras o acceso wifi), o para delimitar un departamento u otra agrupación lógica de usuarios. Esto también les permite comunicarse entre sí sin tantas restricciones, lo que suele ser una buena compensación, pero puede limitarlo aún más con un conmutador de capa 3, un firewall basado en host o algunos otros métodos, como firewalls dedicados.
Cuando usa un enrutador para forzar que el tráfico del cliente se mueva entre VLAN, está enviando todo el tráfico entre VLAN del conmutador al enrutador, lo que aumenta el uso del ancho de banda allí. Esto puede ser deseable o no, pero generalmente el conmutador tendrá un rendimiento mayor que el enrutador, por lo que no suele ser una buena compensación.
Dicho esto, dada la descripción de su entorno, probablemente obtendrá el máximo provecho de un firewall para toda la red combinado con firewalls más simples basados en host que se configurarán a través de un sistema de gestión de configuración (puppet/chef/ansible et al). Esto le permite utilizar un método sencillo para ampliar la configuración del firewall, sin la complejidad de las VLAN para cada servidor.
editar: Ah, y hacerlo de la forma sugerida también separa la configuración de los servidores (es decir, su seguridad) de los propios servidores, lo que puede generar una complejidad adicional innecesaria.