Spanish

 View Only
  • 1.  DMZ best design: Blade 2 NICS

    Posted Jul 25, 2012 01:18 PM

    Hola

    Tenemos un entorno de DMZ montado en Blade IBM con 2 tarjetas de red (1GB) y version ESX 4.0.

    La intención es migrarlo a ESXi 5.0, pero estamos pensando en el diseño de red.

    Actualmente esta configurado:

       vswitch0 > SC + VM > vmnic0

       vswitch1 > VM > vmnic1

    He estado mirando las best practices de vmware para los entornos de DMZ y en todos ellos recomienda tener separados el vmkernel de gestion y vmotion de los switches de dmz: generalmente por temas de conexión directa a switches de DMZ o firewalls.

    Con la limitación de 2 tarjetas de red, y teniendo en cuenta la posibilidad de actualizar a 10GB: cómo veriais la configuración de todo en 1 vswtich y separación por VLAN's? es lo suficientemente seguro?

    Sugerir quizas que la iP de gestion de los esx este detrás de un FW accesible sólamente por los puertos del vCenter: en caso de que una VM en la DMZ este comprometida y pueda accerder al esx.

    Implementación de vshield, para delimitar las VM?

    Muchas gracias

    Saludos



  • 2.  RE: DMZ best design: Blade 2 NICS

    Posted Jul 26, 2012 07:50 AM

    Buenas

    Si puedes actualizar a 10 GB, mejor que mejor.

    En principio la distribución 1 para dmz y 1 para sc+vm podría parecer ideal para cualquier elemento de seguridad pero mala para nosotros desde el punto de vista del ancho de banda.

    Con 802.1q sería suficiente para todo lo que necesitas y, salvo que los de seguridad den mucho la lata, puedes ahorrarte vshield.

    Saludos



  • 3.  RE: DMZ best design: Blade 2 NICS

    Posted Jul 26, 2012 08:03 AM

    Hola Compañero,

    Mi mayor duda más que por ancho de banda, es por redundancia:

       Si dedico 1 pnic para SC y 1 pnic para DMZ VM, en caso de fallo de switch de red en el mejor de los casos: o pierdo SC o pierdo conectividad de datos.

    Entiendo que con las tarjetas 10GB lo que se mejora es el ancho de banda, y más con vDS que te permite mayor flexibilidad a la hora de controlar... Pero por lo general no resuelve el problema, es más, aumenta el riesgo desde el punto de vista de seguridad:

       Generalmente se configuran 2x10gB para sustituir a las configuraciones de 4x1GB o más, por lo que se crea 1 vswitch/vDSwitch y se meten todo el tráfico por ello: SC, VMotion, VM Datos, iSCSI, FT....

    Quizas prefiero arriesgarme y tener 1 vswitch con las 2 pnics (tener redundancia), y configurar esos ESX con un rango de IP's detrás de un FW que sólamente permita la conexión al vCenter por los puertos deseados: en caso de ser comprometidos, reduciríamos el riesgo de que se pudiera acceder al resto de la red corporativa.

    Saludos



  • 4.  RE: DMZ best design: Blade 2 NICS

    Posted Jul 26, 2012 08:20 AM

    Buenas

    Pues visto así, create el único vswitch y configuralo como lacp/802.3ad o lo que te deje para la redundancia y hazte con un switch que acepte 802.1q para separar las tramas que es lo que te dará seguridad. Lo del firewall puede ser opcional si no tienes segmentos de red separados.

    Saludos



  • 5.  RE: DMZ best design: Blade 2 NICS

    Posted Aug 05, 2012 12:03 AM

    Coincido.

    Con dos nics tenés que poner en la balanza disponibilidad con pseudo seguridad.

    La verdad que no es de lo mejor tener ambos entornos dentro del mismo vSwitch, sin embargo quizas es peor tenerlos cada uno con una placa y correr riesgos de disponibilidad.

    Segmentá bien cada vLan y asegurate de que estén segurizadas adecuadamente.

    Slds

    Diego