¿Cómo se aíslan las máquinas virtuales de IaaS?

Navega tus respuestas
2

Actualmente estoy examinando los cortafuegos del hipervisor para mi tesis de posgrado, pero lamentablemente no tengo mucha experiencia con los entornos IaaS. ¿Cómo se aíslan las redes de máquinas virtuales de IaaS entre sí (si las hay)?

¿Los proveedores de IaaS dependen únicamente de las VLAN para el aislamiento de la red? ¿IaaS VM está conectada a una red para obtener una IP? ¿La mayoría de las VM de IaaS pueden hacer ping a otras VM que están presentes en el mismo hipervisor?

Gracias

    
pregunta Phanto 09.06.2013 - 02:52
fuente

1 respuesta

3

Los servidores IaaS utilizan hipervisores tradicionales que puede instalar en cualquier computadora, generalmente Xen o KVM (o Hyper-V si odia el dinero). Estos normalmente se conectan a la red utilizando uno de los siguientes:

  • una interfaz virtual interna (TUN / TAP), que luego puede puentear o hacer un firewall o hacer lo que quiera con el nivel del host que lo contiene
  • NAT en proceso programático (improbable en un entorno empresarial)
  • uso compartido de tarjetas de red (gestionado por el hipervisor)
  • tarjeta de red dedicada

El modelo de red depende del implementador. La interfaz TUN / TAP proporciona la mayor flexibilidad, ya que la interfaz de red de la máquina virtual se muestra como una interfaz no conectada en el sistema operativo host. Cuando y si enviar paquetes a la interfaz virtual está determinado completamente por el firewall y las tablas de enrutamiento del servidor host. Sin embargo, puede ser complicado de configurar y hacer las cosas bien.

El sistema de intercambio de tarjetas de red es probablemente el más simple, y por lo tanto el más probable. Para todo el mundo, parece que cada VM tiene una interfaz Ethernet conectada al mismo conmutador. Pero en realidad solo hay una interfaz que escucha en modo promiscuo, con el sistema operativo del host determinando si enviar paquetes a una máquina virtual determinada o no. El modelo de seguridad allí es el mismo que obtendría con varios servidores en una sola red de difusión.

Finalmente, dedicar una interfaz a cada máquina virtual es la más costosa, pero también la más fácil de entender intuitivamente desde una perspectiva de seguridad. Cada máquina virtual tiene un adaptador de red, usted conecta el cable correcto al adaptador apropiado y listo. Sin embargo, es muy poco probable que esto se encuentre a escala, ya que los cambios requieren intervención manual.

En cuanto a qué modelos de seguridad están en juego; De nuevo, eso depende del implementador. Por lo general, los lugares más simples NO proporcionarán seguridad de la red (su servidor está en Internet, lidiar con eso), pero si proporcionan redes privadas, entonces su mecanismo para hacerlo es su propio secreto. Sin embargo, solo hay muchas cosas que puedes hacer, así que probablemente puedas adivinar.

    
respondido por el tylerl 09.06.2013 - 08:10
fuente

Lea otras preguntas en las etiquetas

¿Es posible respetar la privacidad de un usuario mientras recopila direcciones MAC de teléfonos? ¿Qué CWE se puede usar para describir mejor la desactivación de ASLR en un proceso?