Vraiment, la bonne façon de faire les choses est à l'opposé de la façon dont vous vous approchez, si la sécurité est une préoccupation primordiale. Vous souhaitez exécuter le routeur / pare-feu sur le métal nu et héberger une machine virtuelle au sein de celle-ci pour une utilisation standard sur le bureau ou le serveur.
Pardonnez mon merdique MS Paint illustration.
Si vous reliez le NIC de la VM et le NIC LAN (à partir du système d'exploitation nu), ils peuvent apparaître comme la même interface "LAN" à des fins de pare-feu ou de routage.
La plupart des problèmes de sécurité seraient si quelqu'un montait sur la console pendant qu'elle était en cours d'exécution et désactivait votre routeur / pare-feu VM ou désactivait le pontage / dissociation de votre carte réseau de la VM - ou si quelqu'un devait se connecter à distance au système et le faire . Il est possible, comme toujours, que des logiciels malveillants puissent faire quelque chose de farfelu.
Vous pouvez le faire et utiliser n'importe quel logiciel de machine virtuelle si vous le souhaitez, mais l'inconvénient est que si vous utilisez quelque chose comme ESX, vous devrez RDP dans la machine virtuelle de bureau au lieu d'accéder directement via la console.
Il existe des produits commerciaux comme les anciens systèmes Check Point «VSX» qui servent de «pare-feu virtuels» sur une base matérielle donnée. Si nous parlons de VMWare ou d'un meilleur pare-feu basé sur le cloud. Vous configurez un pare-feu "dans" le cloud pour segmenter le réseau "cloud" interne "et non la communication entre un cloud et un autre réseau.
Les performances sont très limitées et les performances dans un cloud sont partagées. Un pare-feu basé sur asic peut faire> 500 Go / s. Un pare-feu ou un commutateur basé sur VMware fait <20 Go / s. À la déclaration LAN NIC pourrait attraper une grippe de fil. Vous pouvez également indiquer que tout périphérique intermédiaire comme un commutateur, un routeur, un IPS peut également être exploité par le trafic en transit.
Nous voyons cela dans des paquets "malformés" (alias cadres, fragments, segments, etc.). On pourrait donc affirmer que l'utilisation de dispositifs "intermédiaires" n'est pas sécurisée. Le NIST allemand appelé BSI a également déclaré il y a quelques années que les routeurs virtuels (comme les VDC (Virtual Device Context - Cisco Nexus)) et VRF (Virtual Route Forwarding) n'étaient pas sécurisés. D'un point de vue, le partage des ressources est toujours un risque. L'utilisateur peut exploiter les ressources et réduire la qualité de service pour tous les autres utilisateurs. Ce qui, à l'échelle mondiale, mettrait en question l'ensemble des technologies VLAN et de superposition (comme VPN et MPLS).
Si vous avez des exigences de sécurité très élevées, j'utiliserais du matériel dédié et un réseau dédié (y compris des lignes dédiées!) Si vous demandez si l'hyperviseur (en particulier en métal nu) est un problème de sécurité spécial dans un scénario courant ... je dirais que non .
la source
En règle générale, une machine virtuelle est connectée au réseau via une connexion pontée (c'est-à-dire que la mise en réseau passe par l'ordinateur physique sur lequel elle s'exécute). L'utilisation de la machine virtuelle comme pare-feu signifie que tout le trafic peut entrer dans l'ordinateur physique, puis les paquets sont envoyés à la machine virtuelle, filtrés puis renvoyés vers l'ordinateur physique. Étant donné que l'ordinateur physique peut accepter des paquets non filtrés et est responsable de la distribution des paquets au reste du réseau, cela est exploitable pour envoyer des paquets non filtrés sur le réseau.
la source