Firewall de hardware vs dispositivo de firewall VMware

16

Tenemos un debate en nuestra oficina sobre si es necesario obtener un firewall de hardware o configurar uno virtual en nuestro clúster VMWare.

Nuestro entorno consta de 3 nodos de servidor (16 núcleos con 64 GB de RAM cada uno) sobre 2 interruptores de 1 GB con una matriz de almacenamiento compartido iSCSI.

Suponiendo que estaríamos dedicando recursos a los dispositivos VMWare, ¿tendríamos algún beneficio de elegir un firewall de hardware en lugar de uno virtual?

Si elegimos usar un firewall de hardware, ¿cómo se compararía un firewall de servidor dedicado con algo como ClearOS con un firewall de Cisco?

Luke
fuente
1
Casi un duplicado de Hardware Firewall vs. Cortafuegos de software (tablas IP, RHEL) . También es probable que esto requiera debate, argumentos sin mérito y pensamiento grupal. Tenga mucho cuidado de no ser víctima del sesgo de confirmación , donde encuentra una respuesta que concuerda con lo que piensa, pero donde no hay argumento lógico, hecho u otra base.
Chris S

Respuestas:

11

Siempre he sido reacio a alojar un firewall en una máquina virtual, por un par de razones:

  • Seguridad .

Con un hipervisor, la superficie de ataque es más amplia. Los cortafuegos de hardware generalmente tienen un SO reforzado (fs de solo lectura, sin herramientas de compilación) que reducirá el impacto de un posible compromiso del sistema. Los firewalls deberían proteger a los hosts, no al revés.

  • Rendimiento y disponibilidad de la red .

Hemos visto en detalle lo que las NIC malas pueden hacer (o no), y eso es algo que desea evitar. Si bien los mismos errores pueden afectar los dispositivos, el hardware se ha seleccionado y se sabe que funciona con el software instalado. No hace falta decir que el soporte del proveedor de software puede no ayudarte si tienes problemas con los controladores o con cualquier configuración de hardware que no recomienden.

Editar:

Quería agregar, como dijo @Luke, que muchos proveedores de firewall de hardware tienen soluciones de alta disponibilidad, con un estado de conexión con estado que pasa de la unidad activa al modo de espera. He quedado personalmente satisfecho con Checkpoint (en las antiguas plataformas nokia IP710). Cisco tiene conmutación por error / redundancia ASA y PIX , pfsense tiene CARP e IPCop tiene un complemento . Vyatta puede hacer más (pdf) , pero es más que un firewall.

petrus
fuente
1
+1 a "Los firewalls deberían proteger a los hosts, no al revés".
ewwhite
Si coloca su hipervisor frente a su firewall, asegúrese de exponerse. Pero este es un problema de seguridad de la red (error de administrador), no un defecto de virtualización. La elección del proveedor es definitivamente una preocupación cuando se trata de seguridad. Tenga en cuenta que Cisco también proporciona dispositivos virtuales. Elegir el hardware correcto es muy importante. Pero espero que ya estés haciendo esto para tus servidores. También tenga en cuenta que un "host" es solo hardware. Los servidores virtuales todavía están detrás del firewall (virtualmente). No es de alguna manera al revés.
Lucas
@Luke su firewall está a merced del hipervisor; Esa es la diferencia.
gravyface
1
@Luke: No. Para llegar al archivo virtualizado, los paquetes tienen que fluir a través del host físico. Incluso si no se puede acceder a la dirección IP del hipervisor / host desde fuera del firewall, los controladores y el código del hipervisor seguirán procesando los paquetes defectuosos (aumentando así el número de vectores de ataque).
petrus
1
Es interesante notar que estas máquinas Cisco también usan Broadcom nics ( cisco.com/en/US/prod/collateral/ps10265/ps10493/… ). Creo que todos sabemos que los firewalls de 'hardware' no son más que chips listos para usar con sistemas operativos * nix personalizados. Ambos tienen conductores; Ambos están sujetos a las mismas vulnerabilidades posibles. Me gustaría examinar cualquier falla de seguridad que sea exclusiva de la virtualización. No creo que puedas hacer juicios radicales sobre cuál es mejor. Por el contrario, su solución debe analizarse caso por caso.
Lucas
9

Suponiendo que el software es el mismo (generalmente no lo es), los firewalls virtuales pueden ser mejores que un firewall físico porque tiene una mejor redundancia. Un firewall es solo un servidor con CPU, RAM y adaptadores de enlace ascendente. Es el mismo argumento que un servidor web físico y uno virtual. Si el hardware falla, se puede migrar un servidor virtual a otro host automáticamente. El único tiempo de inactividad es la cantidad de tiempo que lleva migrar el firewall virtual a otro host, y quizás el tiempo que tarda el SO en arrancar.

Un firewall físico está vinculado a los recursos que tiene. Un firewall virtual está limitado a los recursos dentro de un host. Por lo general, el hardware x86 es mucho más barato que el de un firewall empresarial físico. Lo que debe tener en cuenta es el costo del hardware, más el costo del software (si no utiliza código abierto), más el costo de su tiempo (que dependerá del proveedor de software con el que vaya). Después de comparar el costo, ¿qué características está obteniendo en ambos lados?

Al comparar cortafuegos, virtuales o físicos, realmente depende del conjunto de características. Los firewalls de Cisco tienen una característica llamada HSRP que le permite ejecutar dos firewalls como uno (maestro y esclavo) para la conmutación por error. Los firewalls que no son de Cisco tienen una tecnología similar llamada VRRP. También hay CARP.

Al comparar un cortafuegos físico con uno virtual, asegúrese de hacer una comparación de manzanas con manzanas. ¿Qué características son importantes para ti? ¿Cómo es la configuración? ¿Este software es utilizado por otras empresas?

Si necesita una ruta potente, Vyatta es una buena apuesta. Tiene capacidades de firewall. Tiene una consola de configuración muy parecida a Ciso. Tienen una edición comunitaria gratuita en vyatta.org y una versión compatible (con algunas características adicionales) en vyatta.com. La documentación es muy limpia y directa.

Si necesita un poderoso firewall, eche un vistazo a pfSense. También puede hacer enrutamiento.

Decidimos ejecutar dos instancias de Vyatta con VRRP en nuestros hosts ESXi. Para obtener la redundancia que necesitábamos con Cisco (dos fuentes de alimentación por firewall, dos firewalls), habría costado $ 15-30k. Para nosotros, la edición comunitaria de Vyatta fue una buena opción. Tiene una interfaz de línea de comando solamente, pero con la documentación fue fácil de configurar.

Luke
fuente
55
Buena respuesta. Hemos utilizado una gran cantidad de dispositivos de hardware y software, y dado el hecho de que puede impulsar una velocidad de línea de 1 Gbps a 64 bytes en una máquina x86 de gama baja en pFSense, es obvio. Los dispositivos de firewall de hardware dedicados suelen rondar los £ 10k para hacer ese tipo de números.
Ben Lessani - Sonassi
Depende de si el firewall es como un dispositivo de punto final. He visto morir muchos clústeres de VMWare debido a problemas de almacenamiento o problemas de red. Por lo general, HA se encarga de las cosas, pero podría ver un problema particular con la configuración de los firewalls en ese entorno. ¿Es esta una configuración completa de HA / vMotion / DRS?
ewwhite
@ewwhite Sí, HA / vMotion / DRS completo. Dos instancias de Vyatta con VRRP y conmutación por error en caliente.
Lucas
Si es posible, mi preferencia es tener uno virtualizado pero uno en una caja dedicada.
Robin Gill
8

Voy con hardware dedicado porque está especialmente diseñado. Tener un dispositivo es útil a ese respecto, especialmente si se trata de un punto final VPN o alguna otra puerta de enlace. Libera su clúster VMWare de esa responsabilidad. En términos de recursos de hardware / RAM / CPU, ejecutar una solución de software definitivamente está bien. Pero eso no es realmente una preocupación.

ewwhite
fuente
+1 para un punto demarcado.
Tom O'Connor
7

Por supuesto, no es necesario, y para la mayoría de las personas, hará el trabajo. Solo tenga en cuenta que su tráfico puede trombonizar a través de los enlaces ascendentes de su conmutador virtual a menos que dedique NIC a la máquina virtual del firewall. (Tendrá que hacer esto en cada casilla en la que desee poder hacer vMotion).

¿Personalmente? Prefiero hardware dedicado porque realmente no es tan caro. Puede obtener números de rendimiento en el hardware dedicado del fabricante, pero el rendimiento de su firewall de VM es completamente subjetivo de lo ocupados que están sus hosts.

Le digo que pruebe el software y vea cómo funciona. Si en el futuro necesita instalar uno de hardware, entonces hágalo.

SpacemanSpiff
fuente