Будет ли правильным если в ESXI один вирутальный сервер будет подключен сразу к трём физически разным сетям, две из которых относятся к КИИ?

Question

[zyyxell]

Есть ESXI , в ней zabbix, есть три сети, к примеру офис (она поделена на vlan) - это первая сеть, вторая сеть производственная , с произвоственным машинами и станками, и третья сеть тоже производственная со своей спецификой, и вот подумал что может можно сетевые интерфейсы этих трёх сетей добавить в один zabbix сервер , но не много погуглил, поспрашивал , и в итоге получил ответ что лучшеб так не делать. Хотел узнать ещё мнений. Может и правда лучше пусть в каждой сети свой сервер будет ?

Comments

[res2001]

Добавить можно, почему бы и нет. Хоть 10 сетей.
Только забикс тут не при чем.
Тут стоит учесть соображения безопасности, особенно при подключении производственных сетей. Чтоб не случилось так, что залетел вирус на комп манагера или бухгалтера, а встала производственная линия.
В свое время когда требовалось физически отделить по соображениям безопасности подсеть я в разрез ставил отдельный шлюз, на котором настраивал фаервол с жесткими правилами для доступа между сетями.
Забикс сможет общаться с агентами с помощью обычной межсетевой маршрутизации, через промежуточный шлюз/фаервол. При этом он может находится в офисной сети с одним сетевым интерфейсом.

[RStarun]

Как написано ниже - мы не знаем регламентов вашей сети. Нет данных по моделям угроз и всякому такому.
Навскидку:

• у вас не должен быть сам хост esx быть подключен к сетям разного уровня, т.к. нарушается изоляция. Я не уверен что даже сертифицированные всякими органами средства виртуализации на базе QEMU+KVM можно, т.к. они не сертифицируются как межсетевые экраны. То есть вам нужно иметь три отдельных хоста, разделенных между собой межсетевыми экранами.
  
• Соответственно вм тоже не должны торчать в сети разных сегментов.
  
• в такой топологии потребуется либо 3 разных заббикса, либо один заббикс и два проксирующих сервера. Основной сервер, вероятно, в самом защищенном сегменте, а прокси в менее защищенных. Хотя ИБ может потребовать 3 разных сервера.
  

Как-то так.

Answer 1

[SunTechnik]

Можно или нельзя - определяется Вашими регламентами.
Если сети изолированный друг от друга, то это сделано по каким-то причинам. Включение сервера одновременно во все три, нарушает условие физической изоляции и добавляет вектор атаки.

Но даже если Вы поставили в каждую сеть свой сервер zabbix, как потом планируется рассылать/получать уведомления о событиях?

Comments

[zyyxell]

Уведомления с zabbix идут в один ТГ чат

[SunTechnik]

Ещё раз.
1. Мы не знаем Ваших регламент в и причины по каким сети были изолированны.
2. Так как Вы планируете слать сообщения в телеграмм из всех сетей, получается, что не так уж они у вас и изолированы.

Поэтому.у непонятно, в какой области у Вас вопрос.
Можно ли технически выставить у виртуалки интерфейсы в три сети? - можно, если нет наложения адресов.

Нарушает ли это регламенты безопасности? Мы не знаем Ваших регламентов.

Answer 2

[Alexey Dmitriev]

Любой вариант подходит.
1 - три интерфейса из разных сетей на zabbix сервере.
2 - связность сетей и отдельные zabbix прокси в каждой подсети.
3 - отдельные zabbix серверы в каждой подсети.

Answer 3

[AntHTML]

По КИИ нужно смотреть документацию и регламент на класс сети и с сетями какого класса ее можно стыковать.
Скорее либо вообще нельзя стыковать, либо через фаервол.
Во втором случае хорошей практикой будет в каждом сегменте поставить zabbix proxy, в отдельном сегменте сам zabbix сервер и чарез ГОСТ шлюз пробросить чисто порты с прокси на сервер.
Как писал RStarun поделия типо астра-виртуализации не сертифицированы по классу межсетевых экранов, а значит хосты с этими ОС не могут торчать двумя концами в разные сети, тем более в разные классы сетей.
PS: Обычно КИИ мониторится отдельными людьми, и по отдельным параметрам, в принципе ничего не мешает у админа повесить рядом 2 телевизора подключенных к разным сетям с двумя разными заббиксами.