Z punktu widzenia bezpieczeństwa, bezpieczną opcją wykorzystywaną na przykład przez dostawców usług hostingowych VPS, z którymi współpracujemy, są maszyny wirtualne DMZ, a nie hiper-vhost.
Korzystając z DMZ zamiast hosta, można uzyskać dostęp do hosta i utworzyć kopię zapasową jak zwykle i wystawić tylko maszyny wirtualne na zewnątrz. Atakujący nie mają łatwego dostępu do hosta z maszyny wirtualnej. Tylko usługi integracyjne Hyper-V potencjalnie i teoretycznie pozwoliłyby niektórym złośliwym programom na rozmowę z hostem; jednak do tej pory Microsoft zabezpieczył to dość dobrze.
Wszystkie strategie włącznie z powyższymi mają swoje wady i zalety:
Dodanie nowego zapasowego serwera NAS w wewnętrznej sieci LAN i otwarcie portu między serwerem DMZ Hyper-V do tworzenia kopii zapasowych
W takim przypadku napastnik przejmuje gospodarza i może zrobić co chce, włącznie z uszkodzeniem urządzenia zapasowego. Przy okazji, okupant też to robi. Może znaleźć udziały w dostępie do sieci i uszkodzić wszystkie pliki również tam.
Dodanie nowego NAS w DMZ. Pro: nie ma potrzeby zmieniać niczego w firewallu
W takim przypadku minusem jest to, że atakujący może uzyskać pełny dostęp do hosta, wszystkich maszyn wirtualnych na nim zawartych i wszystkich kopii zapasowych, pozostawiając potencjalnie nic do odzyskania w przypadku ataku.
W przypadku DMZ wszystkich maszyn wirtualnych wykorzystujących statyczne adresy IP ryzyko jest ograniczone do wartości wewnętrznych każdej z nich. Minusem jest to, że wszystkie maszyny wirtualne muszą być DMZ oddzielnie, ale host pozostanie w sieci wewnętrznej i będzie chroniony w takim stanie, w tym w postaci kopii zapasowych itp.
Inną "sztuczką" w zakresie bezpieczeństwa jest skonfigurowanie izolowanego przełącznika wirtualnego i dołączenie oddzielnej karty NIC dla tych maszyn wirtualnych w strefie zdemilitaryzowanej, tak aby maszyny wirtualne nie miały możliwości rozmawiania z siecią wewnętrzną, w tym z hostem. Dałoby to kolejną warstwę bezpieczeństwa na wypadek, gdyby ktoś włamał się do maszyny wirtualnej.
Wypróbuj to rozwiązanie do tworzenia kopii zapasowych, aby chronić swoje serwery Hyper-V i maszyny wirtualne po niskiej cenie.
wtorek, 25 sierpnia 2020
Hyper-V Backup i bezpieczne serwery DMZ: A Poradnik jak to zrobić
Kopia zapasowa csv funkcji Hyper-V: co należy wziąć pod uwagę w przypadku kopii zapasowych maszyn wirtualnych?
Następujące punkty należy przestrzegać podczas tworzenia kopii zapasowej maszyn wirtualnych funkcji Hyper-V do csv.
1. Najnowsza wersja backupchain powinny być używane
2. Wszystkie pliki maszyn wirtualnych muszą być zapisane na tym samym pliku CSV
3. Kopia zapasowa powinna być wykonywana tylko za pośrednictwem karty Hyper-V. Pełna kopia zapasowa obrazu serwera nie może zawierać woluminów CSV; powinien zawierać tylko systemowy system operacyjny i opcjonalnie dyski danych.
4. Jeśli jest prawdopodobne, że maszyny wirtualne zostaną przeniesione do innych węzłów, należy użyć funkcji automatycznego wyboru zamiast wybierania maszyn wirtualnych z listy Ograniczenie prędkości jest aktywowane, gdy opcja klastra jest ustawiona podczas tworzenia zadania. Można to zwiększyć lub wyłączyć, jeśli masz pewność, że ruch zarządzania CSV jest w 100% odizolowany i nie może mieć na nie wpływu ruch kopii zapasowej i inne transfery danych. W przeciwnym razie może się zdarzyć, że bicie serca nie dotrze na czas, a Funkcja Hyper-V całkowicie wyłączy węzeł
Podobnie jak w przypadku wszystkich kopii zapasowych funkcji Hyper-V, w zależności od hosta i systemu operacyjnego gościa, może się zdarzyć, że funkcja Hyper-V "wsunie się" do małego punktu kontrolnego na krótko przed kopią zapasową, która jest usuwana natychmiast po fazie init. Ten plik punktu kontrolnego pojawia się w folderach kopii zapasowej jako * . AVHDX. Ponadto, znajdziesz również inne AVHD / X w folderach kopii zapasowych, jeśli maszyna wirtualna ma inne punkty kontrolne.
Zaleca się, aby punkty kontrolne nie były używane, a jeśli z nich korzystasz, powinny być używane tylko przez krótki czas. Podczas korzystania z punktów kontrolnych, istnieją również pewne wady i ryzyka do rozważenia. Szczegółowe odzyskiwanie w BackupChain działa tylko na podstawie VHD / X. Punkty kontrolne nie mogą być kontrolowane za pomocą tej funkcji, czyli całkowite odzyskanie jest bardziej prawdopodobne, jeśli żądane pliki nie można znaleźć w głównym pliku VHD. Podczas tworzenia punktu kontrolnego w funkcji Hyper-V dysk V jest zablokowany (i poprzednie punkty kontrolne są zbyt) i tworzony jest nowy AVHD /X. Wszystkie zmiany w maszynie wirtualnej będą w przyszłości zapisywane w AVHD na podstawie sektora. Podczas usuwania punktu kontrolnego zawartość avhds musi być scalona z nadrzędnym VHD, co może zająć trochę czasu.
Wadami są większa złożoność i wolniejsze hosty i dostęp do sieci. Ryzyko to możliwe utraty danych, było już kilka błędów w Hyper-V, które doprowadziły do całkowitej utraty. Pozostało kilka ryzykownych faz, na przykład proces scalania po usunięciu punktu kontrolnego lub skonfigurowaniu odwołań do dysków VHD podczas tworzenia punktów kontrolnych. Jeśli na przykład kopia zapasowa systemu jest zabezpieczona lub występuje awaria zasilania, pamięć pliku CSV jest również oddzielna i dodatkowo dotyczy, istnieje ryzyko uszkodzenia danych. Microsoft oczywiście poprawił format VHDX, aby zmniejszyć ryzyko, ale wirtualne dyski twarde z pewnością nie są w 100% chronione przed uszkodzeniem ze wszystkich przyczyn.