[GTER] Firewalls virtuais [ERA] Metrica para Throughput

Mon Dec 30 19:27:58 -02 2013

Mais inline. :)

Em 30 de dezembro de 2013 16:34, Renato Frederick
<renato at frederick.eti.br>escreveu:

>
>  Em 29 de dezembro de 2013 01:57, Renato Frederick
>> <renato at frederick.eti.br>escreveu:
>>
>>  Já tive casos em que o cliente tem uma caixa física lá no datacenter,
>>> toda
>>> blindada, separando fisicamente os segmentos de rede do cliente, você
>>> pode
>>> ir até seguindo o cabo e ver de onde e para onde vai e que ele insiste em
>>> usar este appliance físico, sem chances de virtualizar, porque ele confia
>>> sua segurança neste ponto.
>>>
>>>  Acho que o ponto de usar o firewall físico faz sentido para proteger um
>> host de um ataque direto originado da rede externa. Mas vamos aplicar o
>> princípio que as máquinas estão virtualizadas e no final das contas um
>> host
>> pode ser comprometido e assim o acesso ao hypervisor é potencialmente
>> possível... aí o firewall externo não vai ajudar muito, concorda?
>>
> Sim, mas já vi gente argumentando contra a virtualização do firewall no
> seguinte aspecto:
> Se eu tenho uma camada a mais atrás do meu O.S, fulano de tal,
> implementador do firewall "lava as mãos" pois não pode garantir a
> integridade dali para trás. e Aí começa todo o drama com a gerência e
> tal....

Por isso que falei do tal orquestrador, operacionalmente a nuvem escala
muito mais e se torna complexo operar, principalmente levando em conta a
mobilidade do meio virtual. Por isso que as ferramentas para transparecer a
rede virtual são apreciadas, pois o gestor da rede precisa de outros meios
para lidar com o overlay da rede.

>  Mas, já tive casos também de clientes que compraram hosting e todo o
>>> processo era "nas nuvens", então o firewall tinha um switch virtual,
>>> integrado ao vmware, daí passava a VLAN XYZ, etc....
>>>
>> Ah sim, vShield. Aqui falamos de proteger o vSwitch, separando os
>> processos
>> do hypervisor. Acho que é proprietário.
>>
> Sim, é proprietário e até onde eu pesquisei não achei furos, mas como não
> sou expert em segurança...

É, vamos deixar o assunto para quem entende de segurança neste ambiente...
:)
Mas apreciaria bastante comentários neste tópico, principalmente abordando
o framework da virtualização no contexto da rede overlay.

> Agora vamos imaginar que eu virtualizei tudo, que eu tenho em meu
>>>
>> datacenter diversos clientes, todos "nas nuvens" e que por erro de
>>> programação, meu virtual switch  pode ser atacado, desta maneira, um
>>> hacker
>>> conseguiria obter informações de outras redes. Neste cenário, realmente o
>>> ambiente físico seria melhor.....
>>>
>> Eu entendo o seu ponto de vista, é bem mais difícil fazer um tapping do
>> tráfego de uma rede física do que um virtual. No entanto, o acesso para a
>> rede virtual só pode ser feito passando por VMs ou por gateways que passam
>> na rede, ou seja o acesso ao vSW é parcial mesmo que o atacante acesse a
>> rede por diversos VMs. Acho que o seu pensamento estava em comprometer o
>> próprio vSwitch, mas isso na prática é como tentar comprometer um firewall
>> ou outro dispositivo da rede.
>
> Exato, em termos de "ataque", acho que quando você tem uma estrutura só(e
> o atacante sabe disto), deve ser mais fácil comprometer, do que ter
> diversas estruturas de diversos fabricantes. Mas, de forma alguma quero
> falar que uma rede virtualizada é menos segura. Até porque não tenho nenhum
> embasamento para afirmar o que é melhor ou não!

A solução é nova, e acho que é seguro assumirmos que existem riscos
associados na inovação. Mas nem por isso vai se deixar de inovar.
"Melhor" é um termo muito relativo, como o Michel disse "cada caso é um
caso". Estamos aqui para discutir as possibilidades neste mundo novo e
agradeço pelas idéias apresentadas para reflexão. :)