Будет ли правильным если в ESXI один вирутальный сервер будет подключен сразу к трём физически разным сетям, две из которых относятся к КИИ?
Есть ESXI , в ней zabbix, есть три сети, к примеру офис (она поделена на vlan) - это первая сеть, вторая сеть производственная , с произвоственным машинами и станками, и третья сеть тоже производственная со своей спецификой, и вот подумал что может можно сетевые интерфейсы этих трёх сетей добавить в один zabbix сервер , но не много погуглил, поспрашивал , и в итоге получил ответ что лучшеб так не делать. Хотел узнать ещё мнений. Может и правда лучше пусть в каждой сети свой сервер будет ?
Добавить можно, почему бы и нет. Хоть 10 сетей.
Только забикс тут не при чем.
Тут стоит учесть соображения безопасности, особенно при подключении производственных сетей. Чтоб не случилось так, что залетел вирус на комп манагера или бухгалтера, а встала производственная линия.
В свое время когда требовалось физически отделить по соображениям безопасности подсеть я в разрез ставил отдельный шлюз, на котором настраивал фаервол с жесткими правилами для доступа между сетями.
Забикс сможет общаться с агентами с помощью обычной межсетевой маршрутизации, через промежуточный шлюз/фаервол. При этом он может находится в офисной сети с одним сетевым интерфейсом.
Как написано ниже - мы не знаем регламентов вашей сети. Нет данных по моделям угроз и всякому такому.
Навскидку:
у вас не должен быть сам хост esx быть подключен к сетям разного уровня, т.к. нарушается изоляция. Я не уверен что даже сертифицированные всякими органами средства виртуализации на базе QEMU+KVM можно, т.к. они не сертифицируются как межсетевые экраны. То есть вам нужно иметь три отдельных хоста, разделенных между собой межсетевыми экранами.
Соответственно вм тоже не должны торчать в сети разных сегментов.
в такой топологии потребуется либо 3 разных заббикса, либо один заббикс и два проксирующих сервера. Основной сервер, вероятно, в самом защищенном сегменте, а прокси в менее защищенных. Хотя ИБ может потребовать 3 разных сервера.
Можно или нельзя - определяется Вашими регламентами.
Если сети изолированный друг от друга, то это сделано по каким-то причинам. Включение сервера одновременно во все три, нарушает условие физической изоляции и добавляет вектор атаки.
Но даже если Вы поставили в каждую сеть свой сервер zabbix, как потом планируется рассылать/получать уведомления о событиях?
Ещё раз.
1. Мы не знаем Ваших регламент в и причины по каким сети были изолированны.
2. Так как Вы планируете слать сообщения в телеграмм из всех сетей, получается, что не так уж они у вас и изолированы.
Поэтому.у непонятно, в какой области у Вас вопрос.
Можно ли технически выставить у виртуалки интерфейсы в три сети? - можно, если нет наложения адресов.
Нарушает ли это регламенты безопасности? Мы не знаем Ваших регламентов.
Любой вариант подходит.
1 - три интерфейса из разных сетей на zabbix сервере.
2 - связность сетей и отдельные zabbix прокси в каждой подсети.
3 - отдельные zabbix серверы в каждой подсети.