[GTER] Firewalls virtuais [ERA] Metrica para Throughput

[Shine]

Boas questões Renato!
Acho que aqui já fica interessante a participação do GTS, porque entramos
em um ponto de convergência entre rede e segurança.
Vou deixar alguns comentários inline.

Em 29 de dezembro de 2013 01:57, Renato Frederick
<renato at frederick.eti.br>escreveu:

> Já tive casos em que o cliente tem uma caixa física lá no datacenter, toda
> blindada, separando fisicamente os segmentos de rede do cliente, você pode
> ir até seguindo o cabo e ver de onde e para onde vai e que ele insiste em
> usar este appliance físico, sem chances de virtualizar, porque ele confia
> sua segurança neste ponto.
>
Acho que o ponto de usar o firewall físico faz sentido para proteger um
host de um ataque direto originado da rede externa. Mas vamos aplicar o
princípio que as máquinas estão virtualizadas e no final das contas um host
pode ser comprometido e assim o acesso ao hypervisor é potencialmente
possível... aí o firewall externo não vai ajudar muito, concorda?


> Mas, já tive casos também de clientes que compraram hosting e todo o
> processo era "nas nuvens", então o firewall tinha um switch virtual,
> integrado ao vmware, daí passava a VLAN XYZ, etc....
>
Ah sim, vShield. Aqui falamos de proteger o vSwitch, separando os processos
do hypervisor. Acho que é proprietário.


> Se analisarmos tecnicamente, o firewall físico ou virtual está fazendo a
> mesma coisa. O que precisamos pensar é que tem uma tecnologia que me dá um
> switch virtual. Se esta tecnologia não possui furos, OK. Porque a partir do
> momento em que o cliente que tinha a caixa física se dispôs a virtualizar,
> as premissas de que o tráfego da DMZ não vai ser visto pela LAN, que a VLAN
> ABC não enxergará a DEF, que todo aquele isolamento que fazemos lá no core
> da rede, está garantido, OK!
>
Acho que não está bem definido. Existem soluções que usam VLAN mas existem
também soluções que usam túneis entre os vSW como por exemplo GRE.


> Agora vamos imaginar que eu virtualizei tudo, que eu tenho em meu
> datacenter diversos clientes, todos "nas nuvens" e que por erro de
> programação, meu virtual switch  pode ser atacado, desta maneira, um hacker
> conseguiria obter informações de outras redes. Neste cenário, realmente o
> ambiente físico seria melhor.....
>
Eu entendo o seu ponto de vista, é bem mais difícil fazer um tapping do
tráfego de uma rede física do que um virtual. No entanto, o acesso para a
rede virtual só pode ser feito passando por VMs ou por gateways que passam
na rede, ou seja o acesso ao vSW é parcial mesmo que o atacante acesse a
rede por diversos VMs. Acho que o seu pensamento estava em comprometer o
próprio vSwitch, mas isso na prática é como tentar comprometer um firewall
ou outro dispositivo da rede.


> Enfim, a partir do momento em que você coloca toda uma pilha de software
> emulando o meio real, tem que ter alguma garantia de que cada ambiente só
> enxergue o necessário e que os processos fiquem confinados neste ambiente!
>
 Mas isso é a premissa de segurança em qualquer ambiente de TI, não é?