wtorek, 25 sierpnia 2020

Hyper-V Backup i bezpieczne serwery DMZ: A Poradnik jak to zrobić

Z punktu widzenia bezpieczeństwa, bezpieczną opcją wykorzystywaną na przykład przez dostawców usług hostingowych VPS, z którymi współpracujemy, są maszyny wirtualne DMZ, a nie hiper-vhost.

Korzystając z DMZ zamiast hosta, można uzyskać dostęp do hosta i utworzyć kopię zapasową jak zwykle i wystawić tylko maszyny wirtualne na zewnątrz. Atakujący nie mają łatwego dostępu do hosta z maszyny wirtualnej. Tylko usługi integracyjne Hyper-V potencjalnie i teoretycznie pozwoliłyby niektórym złośliwym programom na rozmowę z hostem; jednak do tej pory Microsoft zabezpieczył to dość dobrze.

Wszystkie strategie włącznie z powyższymi mają swoje wady i zalety:

    Dodanie nowego zapasowego serwera NAS w wewnętrznej sieci LAN i otwarcie portu między serwerem DMZ Hyper-V do tworzenia kopii zapasowych

W takim przypadku napastnik przejmuje gospodarza i może zrobić co chce, włącznie z uszkodzeniem urządzenia zapasowego. Przy okazji, okupant też to robi. Może znaleźć udziały w dostępie do sieci i uszkodzić wszystkie pliki również tam.

    Dodanie nowego NAS w DMZ. Pro: nie ma potrzeby zmieniać niczego w firewallu

W takim przypadku minusem jest to, że atakujący może uzyskać pełny dostęp do hosta, wszystkich maszyn wirtualnych na nim zawartych i wszystkich kopii zapasowych, pozostawiając potencjalnie nic do odzyskania w przypadku ataku.

W przypadku DMZ wszystkich maszyn wirtualnych wykorzystujących statyczne adresy IP ryzyko jest ograniczone do wartości wewnętrznych każdej z nich. Minusem jest to, że wszystkie maszyny wirtualne muszą być DMZ oddzielnie, ale host pozostanie w sieci wewnętrznej i będzie chroniony w takim stanie, w tym w postaci kopii zapasowych itp.

Inną "sztuczką" w zakresie bezpieczeństwa jest skonfigurowanie izolowanego przełącznika wirtualnego i dołączenie oddzielnej karty NIC dla tych maszyn wirtualnych w strefie zdemilitaryzowanej, tak aby maszyny wirtualne nie miały możliwości rozmawiania z siecią wewnętrzną, w tym z hostem. Dałoby to kolejną warstwę bezpieczeństwa na wypadek, gdyby ktoś włamał się do maszyny wirtualnej.

Wypróbuj to rozwiązanie do tworzenia kopii zapasowych, aby chronić swoje serwery Hyper-V i maszyny wirtualne po niskiej cenie.

Brak komentarzy:

Publikowanie komentarza