Segmentierung: Netzwerk und LXC Container

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
schorsch_76
Beiträge: 2629
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Segmentierung: Netzwerk und LXC Container

Beitrag von schorsch_76 » 09.01.2025 07:58:27

Hallo zusammen,

ich überlege mit gerade ein Konzept für eine Segmentierung von LXC-Containern und Subnetzen.

Bisher hab ich halt Subnetze nur auf IP Ebene getrennt. Sprich: 192.168.x.0/24. Ein Container hat dann eine Verbindung zu der Bridge und in der config ist die Netzwerkadresse für dieses Subnetz gesetzt.

Wenn ich jetzt eine eigene Bridge für jedes Subnetz mache und dann die Container nur auf die Subnetzbridge verbinde, gewinne ich die Sicherheit das die Container egal wie auch nicht in andere Netze kommen können.

Jetzt meine Fragen:
  • Ist das nur ein theoretischer Sicherheitsgewinn oder seht ihr das als deutlich besser als vorher an?
  • Sollte ein Container kompromitiert werden, seht ihr die ganze Maschine dann als kompromitiert an oder nur den Container?
  • Wie macht ihr das?
  • Wie sind eure Konzepte dazu?

Antworten