Avançar para o conteúdo principal
BlogTrabalho em redeGo Privado com VLANs e VPCs

Go Privado com VLANs e VPCs

Go-Private-with-VLANs-and-VPCs

Há duas formas primárias de falar sobre Nuvem Privada. Uma é a separação física dos recursos em hardware dedicado, a outra é a separação virtual através de redes isoladas.

Quando temos a Nuvem Privada por separação física, estamos tipicamente a alugar hardware como um único utilizador inquilino e os nossos recursos são tangivelmente separados dos de todos os outros. Private Cloud by virtual separação tem os nossos recursos num ambiente multi-inquilino que é isolado de outros utilizadores e da Internet pública ao nível do software. Isto é por vezes referido como nuvem interna, intranet, ou, mais frequentemente, Nuvem Privada Virtual (VPC).

Em última análise, a característica central de uma nuvem privada é a capacidade de isolar e proteger as nossas infra-estruturas. Isto proporciona maior segurança ao reduzir significativamente a superfície de ataque da nossa rede. Os VPCs permitem-nos conseguir isto ao nível do software, mantendo-se ao mesmo tempo rentável.

Compreender VPCs, VLANs, e VPNs

Num VPC, os servidores são murados a partir de outros recursos públicos em nuvem e tipicamente confinados à sua própria colecção ou conjunto de sub-redes. Outra forma de conseguir este confinamento é com uma Rede Local Virtual (VLAN)

Para compreender o papel que uma VLAN desempenha, imagine cinco computadores de secretária numa sala ligados entre si com cabos ethernet para comunicar entre si de forma privada. Era uma vez, as pessoas fariam realmente isto, mas hoje removemos os cabos e movemos a nossa conectividade da camada física para a camada de ligação de dados do Modelo OSI com as VLANs.

No exemplo acima, os nossos utilizadores estão na mesma sala, mas este não é um cenário comum hoje em dia. Para os utilizadores acederem à nossa rede isolada a partir de um local externo, precisaríamos de criar uma Rede Privada Virtual (VPN). Uma VPN é o meio para um utilizador se ligar a uma rede privada através da Internet pública de forma segura através de um túnel encriptado.

Em resumo, podemos utilizar uma VPC ou VLAN para criar uma rede isolada e uma VPN é o que utilizamos para aceder com segurança a esta rede isolada. Os termos VPC e VLAN são por vezes utilizados indistintamente, mas podemos ver que não são certamente os mesmos.

Uma VLAN pode ser usada como um VPC?

A resposta curta é sim, podemos usar uma VLAN como um VPC. As VLANs fornecem separação de rede, o que nos permite alojar informação sensível num espaço seguro, mas isto requer algum planeamento e consideração adicional. Uma grande diferença entre as VLANs e uma verdadeira VPC pode ser encontrada observando as camadas 2 e 3 do Modelo OSI. Vamos mergulhar para um olhar mais atento.

A Camada 2, a Camada de Ligação de Dados, inclui comutação e cablagem ethernet. Uma vez que uma VLAN é essencialmente um substituto virtualizado dos cabos ethernet físicos, seria considerada a camada 2 de isolamento. Ao ligar uma VM a uma VLAN, estamos efectivamente ligados ao nosso próprio comutador de rede virtual isolado.

A Camada 3, a Camada de Rede, inclui IPv4 e IPv6. As firewalls, por exemplo, estão na camada 3 (ou acima) para monitorizar e filtrar o tráfego por endereço IP, utilizando listas de permissão e bloqueio. Isto incluiria tipicamente firewalls de rede e de nível de SO. Um verdadeiro VPC incluiria soluções incorporadas cobrindo a camada 2, camada 3, e acima.

*Notem que uma firewall de camada 7 a nível de aplicação permite um nível de controlo mais granular, como o bloqueio ou a permissão de tráfego com base no seu conteúdo, em vez de apenas por porta ou endereço IP.

Para assegurar as nossas ligações entre a camada 2 e acima, precisaríamos de fazer algumas ferramentas adicionais. As firewalls de nível OS podem ser implementadas com iptables ou nftables. Poderemos também precisar de fornecer protecção de protocolo de resolução de endereços (ARP) e de descoberta de vizinhos (ND). 

Como podemos ver, embora as VLANs sejam funcionalidade suficiente para isolar nossas VMs, temos algum trabalho a fazer antes de usá-las como uma verdadeira nuvem privada virtual. Voltando à nossa comparação com o cabo ethernet, os riscos e as considerações de segurança não são diferentes de ter um conjunto de máquinas físicas conectadas a um switch de rede compartilhado.

Pode uma VLAN ser utilizada como VPC em Linode?

A resposta curta é novamente, sim, podemos usar uma VLAN como um VPC em Linode. Linode oferece um produto VLAN que pode ser implantado directamente a partir do Cloud Manager e que nos permite alcançar um isolamento seguro, de camada 2, da rede entre os nossos Linodes. Mas, é crucial considerar os seus requisitos e certificar-se de que tem um plano para configurar soluções adicionais de camada 3.

Comece por verificar alguns casos de uso comum para o serviço VLAN da Linode. As VLANs Linode são de utilização livre com os seus Linodes e estão disponíveis em múltiplos centros de dados em todo o mundo. Para além da segurança que isola os seus recursos, a transferência de rede privada é gratuita. Isto significa que a comunicação através de uma VLAN não conta contra a quota mensal de transferência de rede de Linode.


Comentários

Deixe uma resposta

O seu endereço de correio electrónico não será publicado. Os campos obrigatórios estão marcados com *