[GTER] Firewalls virtuais [ERA] Metrica para Throughput
Michel L. M. B. Perez
michelmbperez at gmail.com
Sun Dec 29 22:35:38 -02 2013
Melhor a ser dito é cada caso é um caso e deve ser estudado como único.
O Shine e o Renato foram bem enfáticos em alguns cenários...
A - Onde você jogou suas aplicações pra nuvem e por uma questão lógica não
vai deixar seus devices desprotegidos então coloca uma camada de Firewall
virtualizada, penso assim
B - Onde você tem um pool de recursos e um pool de clientes e que de certa
forma, um erro de configuração/lógico ou de camada 8 pode gerar uma falha.
Eu digo que tudo tem de ser analisado. Mas nada está escrito em pedra como
diria meu velho avô.
:)
--
Michel Perez
Skype: michelmbperez
michelmbperez at gmail.com
http://br.linkedin.com/in/michelmbperez
Em 29 de dezembro de 2013 11:41, Francisco V Brasileiro <
francisco at brasileiro.adm.br> escreveu:
> Erro de programacao tambem pode ocorrer no firewall fisico e o hacker teria
> acesso a todos os segmentos.
> Em 29/12/2013 10:21, "Renato Frederick" <renato at frederick.eti.br>
> escreveu:
>
> > Bom, sobre esta questão de virtualizar firewall:
> >
> > Já tive casos em que o cliente tem uma caixa física lá no datacenter,
> toda
> > blindada, separando fisicamente os segmentos de rede do cliente, você
> pode
> > ir até seguindo o cabo e ver de onde e para onde vai e que ele insiste em
> > usar este appliance físico, sem chances de virtualizar, porque ele confia
> > sua segurança neste ponto.
> >
> > Mas, já tive casos também de clientes que compraram hosting e todo o
> > processo era "nas nuvens", então o firewall tinha um switch virtual,
> > integrado ao vmware, daí passava a VLAN XYZ, etc....
> >
> > Se analisarmos tecnicamente, o firewall físico ou virtual está fazendo a
> > mesma coisa. O que precisamos pensar é que tem uma tecnologia que me dá
> um
> > switch virtual. Se esta tecnologia não possui furos, OK. Porque a partir
> do
> > momento em que o cliente que tinha a caixa física se dispôs a
> virtualizar,
> > as premissas de que o tráfego da DMZ não vai ser visto pela LAN, que a
> VLAN
> > ABC não enxergará a DEF, que todo aquele isolamento que fazemos lá no
> core
> > da rede, está garantido, OK!
> >
> > Agora vamos imaginar que eu virtualizei tudo, que eu tenho em meu
> > datacenter diversos clientes, todos "nas nuvens" e que por erro de
> > programação, meu virtual switch pode ser atacado, desta maneira, um
> hacker
> > conseguiria obter informações de outras redes. Neste cenário, realmente o
> > ambiente físico seria melhor.....
> >
> > Enfim, a partir do momento em que você coloca toda uma pilha de software
> > emulando o meio real, tem que ter alguma garantia de que cada ambiente só
> > enxergue o necessário e que os processos fiquem confinados neste
> ambiente!
> >
> >
> >
> >
> >
> >
> >
> >
> > Em 27/12/13 17:12, Shine escreveu:
> >
> >> Bem, nem eu vi esse ambiente Michel... por isso estou colocando a
> questão
> >> na comunidade. :)
> >>
> >> Acho que um firewall virtual ainda não tem aplicação como os appliances
> >> (ainda), mas para o ambiente em nuvem ele faz muito sentido. Assim como
> >> trará muitas oportunidades, essa área provavelmente trará muitos
> desafios
> >> também em segurança, gestão de ativos, desenho da rede, etc.
> >>
> >>
> >>
> >> Em 27 de dezembro de 2013 10:02, Michel L. M. B. Perez <
> >> michelmbperez at gmail.com> escreveu:
> >>
> >> Eu já ajudei a implementar firewalls mas em cenários pequenos sobre
> VMs,
> >>> não cheguei a ter um nivel de controle feito o que você ta falando
> Shine,
> >>> com um orchestrador por trás tomando conta de praticamente tudo, como
> >>> você
> >>> cita, isso vem a ser uma tendencia e creio que fique cada vez mais
> forte
> >>> ainda mais com a adoção do SDN.
> >>>
> >>> Mas algumas coisas ainda prefiro fora da Virtualização, como o Douglas
> >>> falou, em alguns casos a virtual pode ser mais adequado do que o
> físico e
> >>> etc..
> >>>
> >>> --
> >>> Michel Perez
> >>> Skype: michelmbperez
> >>> michelmbperez at gmail.com
> >>> http://br.linkedin.com/in/michelmbperez
> >>>
> >>>
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list