[GTER] Firewalls virtuais [ERA] Metrica para Throughput
Renato Frederick
renato at frederick.eti.br
Sun Dec 29 01:57:18 -02 2013
Bom, sobre esta questão de virtualizar firewall:
Já tive casos em que o cliente tem uma caixa física lá no datacenter,
toda blindada, separando fisicamente os segmentos de rede do cliente,
você pode ir até seguindo o cabo e ver de onde e para onde vai e que ele
insiste em usar este appliance físico, sem chances de virtualizar,
porque ele confia sua segurança neste ponto.
Mas, já tive casos também de clientes que compraram hosting e todo o
processo era "nas nuvens", então o firewall tinha um switch virtual,
integrado ao vmware, daí passava a VLAN XYZ, etc....
Se analisarmos tecnicamente, o firewall físico ou virtual está fazendo a
mesma coisa. O que precisamos pensar é que tem uma tecnologia que me dá
um switch virtual. Se esta tecnologia não possui furos, OK. Porque a
partir do momento em que o cliente que tinha a caixa física se dispôs a
virtualizar, as premissas de que o tráfego da DMZ não vai ser visto pela
LAN, que a VLAN ABC não enxergará a DEF, que todo aquele isolamento que
fazemos lá no core da rede, está garantido, OK!
Agora vamos imaginar que eu virtualizei tudo, que eu tenho em meu
datacenter diversos clientes, todos "nas nuvens" e que por erro de
programação, meu virtual switch pode ser atacado, desta maneira, um
hacker conseguiria obter informações de outras redes. Neste cenário,
realmente o ambiente físico seria melhor.....
Enfim, a partir do momento em que você coloca toda uma pilha de software
emulando o meio real, tem que ter alguma garantia de que cada ambiente
só enxergue o necessário e que os processos fiquem confinados neste
ambiente!
Em 27/12/13 17:12, Shine escreveu:
> Bem, nem eu vi esse ambiente Michel... por isso estou colocando a questão
> na comunidade. :)
>
> Acho que um firewall virtual ainda não tem aplicação como os appliances
> (ainda), mas para o ambiente em nuvem ele faz muito sentido. Assim como
> trará muitas oportunidades, essa área provavelmente trará muitos desafios
> também em segurança, gestão de ativos, desenho da rede, etc.
>
>
>
> Em 27 de dezembro de 2013 10:02, Michel L. M. B. Perez <
> michelmbperez at gmail.com> escreveu:
>
>> Eu já ajudei a implementar firewalls mas em cenários pequenos sobre VMs,
>> não cheguei a ter um nivel de controle feito o que você ta falando Shine,
>> com um orchestrador por trás tomando conta de praticamente tudo, como você
>> cita, isso vem a ser uma tendencia e creio que fique cada vez mais forte
>> ainda mais com a adoção do SDN.
>>
>> Mas algumas coisas ainda prefiro fora da Virtualização, como o Douglas
>> falou, em alguns casos a virtual pode ser mais adequado do que o físico e
>> etc..
>>
>> --
>> Michel Perez
>> Skype: michelmbperez
>> michelmbperez at gmail.com
>> http://br.linkedin.com/in/michelmbperez
>>
More information about the gter
mailing list