只是抛开这个想法,想看看你是否会那么好心地指出我看不到的问题。
如果我将这个新的 HyperV 主机设置为普通域成员,好处是显而易见的。我可以通过 SCVMM 管理它,它有自己的 NIC,因此理论上应该将流量与 VM 将使用的肮脏、肮脏的 DMZ NIC 隔离。
显然,我想将虚拟网络设置为专用网络,以便将主机与它们完全隔离。我相信这方面的文件——这太天真了吗?
我可能想多了,因为一想到将我的 LAN 和我的 DMZ 都插入同一个物理盒子,我就会抽搐,但我没有任何具体的原因。
谢谢你的想法。
AskOverflow.Dev
我想说主要风险是任何允许某人突破虚拟机并攻击主机的漏洞。 VMWare 以前也发生过这种情况。因此,与完全隔离的机器相比,这会使您的 LAN 面临更高的 DMZ 风险,但我也不会说这很愚蠢。只是取决于它真的必须有多安全......
还要考虑到这听起来有点“复杂”,因此你可能更有可能忽略一些东西。我敢打赌,由于管理错误而不是漏洞利用,更多的安全性被黑客入侵。
要考虑的另一件事是,您是否在可能进行审计的地方/行业工作。即使这种方法确实不安全,也可能存在一些关于 DMZ 和 LAN 驻留在同一物理服务器上的 BS 审计规则。
我们现在正在运行几台这样的服务器(尽管我们使用的是 VMWare)。基本上,物理盒托管在各种网络上运行的访客机器,每个网络都有自己的物理网卡分配给它。正如凯尔所说,这绝对是一个问题。我们采取的方法是,鉴于虚拟黑客的潜在影响,我们已经竭尽全力保护来宾机器上的操作系统。所有可公开访问的来宾操作系统每天都会由第三方审核来筛选安全漏洞,这样我们就有希望从一开始就阻止某人进入来宾。此外,我们已经制定了广泛的防火墙规则,以首先锁定进入 DMZ 的流量。不幸的是,这可能与您目前使用这种配置一样安全。