Eu estava pensando: por que não coloco todas as nossas duas dúzias de servidores em vlans exclusivas para poder gerenciar com eficácia todas as regras de firewall entre servidores a partir do roteador? (Eu manteria os firewalls do sistema operacional funcionando como backup.)
Na minha leitura limitada, não vi isso como uma recomendação, mas parece fazer muito sentido para mim. 99% dos nossos servidores são apenas silos – você os acessa pela Internet, eles atualizam seus dados locais e pronto. (No entanto, eles precisam de acesso ssh de entrada da nossa LAN de gerenciamento e da Internet de saída para obter atualizações.) A questão é que a conectividade entre servidores é de longe a exceção. Não há razão para ter os servidores em uma LAN compartilhada para facilitar a comunicação inexistente. Também não há razão para deixar cada servidor exposto à primeira máquina incluída na LAN.
o que estou perdendo? Qual é a desvantagem dessa configuração?
Nota lateral, eusoucomeçando com a suposição de que as vlans estão disponíveis e são fáceis de implementar. Se você possui um roteador decente e todas as suas máquinas rodando em hipervisores modernos, isso parece uma suposição justa.
Responder1
Em teoria, você pode, mas enviaria todo o tráfego através do roteador, o que o torna um gargalo para o tráfego. Além disso, criaria uma grande quantidade de sobrecarga com muitas interfaces no roteador (uma por vlan), muitas listas de controle de acesso ou locais separados onde você precisa limitar/permitir tráfego e, geralmente, seria uma grande bagunça. ..
Normalmente, as vlans são usadas para conter dispositivos de nível de segurança semelhante ou para conter muitos dispositivos de função semelhante (como telefones, impressoras ou acesso Wi-Fi) ou para proteger um departamento ou outro agrupamento lógico de usuários. Isso também permite que eles se comuniquem entre si sem tantas restrições, o que geralmente é uma boa troca, mas você pode limitar ainda mais isso com um switch de camada 3, um firewall baseado em host ou alguns outros métodos, como firewalls dedicados.
Quando você usa um roteador para forçar o tráfego do cliente a se mover entre vlans, você está enviando todo o tráfego entre vlans do switch para o roteador, o que aumenta o uso da largura de banda. Isso pode ou não ser desejável, mas geralmente o switch terá uma taxa de transferência mais alta que o roteador, portanto, geralmente não é uma boa compensação.
Dito isto, dada a descrição do seu ambiente, você provavelmente aproveitará ao máximo um firewall em toda a rede combinado com firewalls mais simples baseados em host para serem configurados por meio de um sistema de gerenciamento de configuração (puppet/chef/ansible et al). Isso permite um método fácil de expandir a configuração do firewall, sem a complexidade das vlans para cada servidor.
editar: ah, e fazer isso da maneira sugerida também separa a configuração dos servidores (ou seja: sua segurança) dos próprios servidores, o que pode levar a uma complexidade extra desnecessária.