Nos mudaremos a una nueva oficina y parte es revisar nuestra LAN/WAN actual y el acceso al servidor hacia/desde la web.
Entiendo cómo funciona la DMZ, pero no puedo determinar si necesito colocar un servidor/host físico entre mis 2 firewalls, o puedo hacerlo con la subred/vNic de la DMZ y los servidores/servidores virtuales con vNic.
Hoy tenemos un único enrutador y un único firewall. Detrás de esto están todos nuestros servidores, servidores de aplicaciones, DC, hosts de VM, etc.
Tengo 2 aplicaciones hoy (en servidores virtuales), a las que se puede acceder desde la web (perforaciones de firewall). Ambos NO usan credenciales de AD y trabajan con usuarios de bases de datos locales (eliminan la necesidad de credenciales de AD).
- Ambos son servidores virtuales en (actualmente) 1 de 3 VM Hosts.
- Quiero mover estas 2 aplicaciones a la DMZ.
- Eso también requerirá al menos un IIS.
Colocar un servidor VM Host físico que tenga 2 NIC parece un poco extraño (ese host contendrá tantos servidores/servidores de aplicaciones como necesite)
- es un único punto de falla
- y no se siente bien (aunque puede/debería funcionar)
y, por otro lado, puedo crear una vNic en uno de mis hosts y asignar su IP a ambos Firwalls.
router > wan_firewall_dmz > vNic to server > dmz_firewall_lan> me da menos sensación de seguridad que la opción anterior y, por alguna razón, tengo la sensación de que "extraño" la idea de la DMZ.
¿Es eso correcto?
¿Qué es lo que me falta?
Respuesta1
¿Necesito colocar un servidor/host físico dentro de la DMZ para alojar servidores/aplicaciones?
"Quizás": depende de su nivel de paranoia/confianza en la virtualización.
Si está implementando una nueva DMZ, la forma habitual de hacerlo sería crear una vLAN separada y colocar la subred DMZ en ella, creando efectivamente un conmutador virtual para su DMZ.
Si confía en que su software de virtualización no estropee las vLAN, puede crear un conmutador virtual en su hipervisor de VM, colocarlo en la vLAN DMZ y conectar los hosts que desea aislar a ese conmutador virtual.
Puede asignar los conmutadores virtuales a NIC físicas individuales (enviando tráfico sin etiquetar con los puertos del conmutador conectados a la vLAN adecuada), o con la mayoría de los sistemas VM puede conectar el hipervisor a un "puerto troncal" en su conmutador y enviar todo el tráfico de la vLAN. a su interruptor etiquetado y deje que el interruptor lo resuelva.
Los puntos únicos de falla se eliminarían de la forma habitual (agregación de enlaces, conmutación por error de la máquina virtual apropiada para su hipervisor, etc.) y su carga de mantenimiento general no debería aumentar en absoluto: la configuración de las vLAN es algo que se realiza una sola vez. .
Respuesta2
No necesita un host físico en su DMZ. Puede lograr esto con una definición de VLAN o, preferiblemente, interfaces de red física dedicadas (pNICS) desde su entorno virtual a su red DMZ.