Vom Sicherheitsstandpunkt aus gesehen ist eine sichere Option, die zum Beispiel von VPS-Hosting-Providern, mit denen wir zusammenarbeiten, verwendet wird, die DMZ der VMs und nicht des Hyper-V-Hosts.
Wenn Sie die VMs anstelle des Hosts in die DMZ stellen, können Sie wie gewohnt auf den Host zugreifen und ein Backup erstellen und nur die VMs nach außen freigeben. Angreifer können von der VM aus nicht einfach auf den Host zugreifen. Nur die Hyper-V-Integrationsdienste würden es potentiell und theoretisch einigen Schadprogrammen erlauben, vielleicht mit dem Host zu kommunizieren; allerdings hat Microsoft dies bisher recht gut abgesichert.
Alle Strategien, einschließlich der oben genannten, haben ihre eigenen Vor- und Nachteile:
Hinzufügen eines neuen Backup-NAS im internen LAN und Öffnen des Ports zwischen DMZ Hyper-V Server für Backups
In diesem Fall übernimmt der Angreifer den Host und kann tun, was er will, einschließlich der Beschädigung des Sicherungsgeräts. Übrigens tut Lösegeld auch dies. Sie kann Netzwerkzugriffsfreigaben finden und auch dort alle Dateien beschädigen.
Hinzufügen eines neuen NAS in der DMZ. Vorteil: Sie müssen nichts an der Firewall ändern.
In diesem Fall ist der Nachteil, dass der Angreifer vollen Zugriff auf den Host, alle VMs darauf und alle Backups davon erlangen könnte, so dass Sie im Falle eines Angriffs möglicherweise nichts mehr wiederherstellen können.
Wenn Sie alle VMs, die statische IP-Adressen verwenden, in eine DMZ einteilen, ist das Risiko auf die Interna der einzelnen VMs beschränkt. Der Nachteil ist, dass Sie alle VMs separat DMZen müssen, aber der Host würde im internen Netzwerk und geschützt bleiben, so wie er ist, einschließlich Backups usw.
Ein weiterer "Sicherheitstrick" besteht darin, einen isolierten virtuellen Switch einzurichten und eine separate NIC für diese DMZ-VMs anzuschließen, so dass die VMs keine Möglichkeit haben, mit dem internen Netzwerk, einschließlich des Hosts, zu kommunizieren. Damit hätten Sie eine weitere Sicherheitsebene für den Fall, dass sich jemand in die VM einhackt.
Probieren Sie diese Backup-Lösung aus, um Ihre Hyper-V-Server und VMs zu einem günstigen Preis zu schützen.
Dienstag, 25. August 2020
Sicherung von Hyper-V-VMs in CSVs
Die folgenden Punkte sollten bei der Sicherung von Hyper-V-VMs in CSVs beachtet werden.
1. Es sollte die neueste Version Ihrer BackupChain verwendet werden
2. Alle VM-Dateien müssen im gleichen CSV-Format gespeichert werden.
3. Die Sicherung sollte nur über die Registerkarte Hyper-V erfolgen. Das vollständige Server-Image-Backup darf keine CSV-Volumes enthalten; es sollte nur das Systembetriebssystem und optional Datenträger enthalten.
4. Wenn es wahrscheinlich ist, dass VMs auf andere Knoten verschoben werden, sollte die Autoselect-Funktion verwendet werden, anstatt die VMs aus der Liste auszuwählen. Eine Geschwindigkeitsbeschränkung wird aktiviert, wenn bei der Erstellung der Aufgabe die Cluster-Option gesetzt wird. Diese kann erhöht oder abgeschaltet werden, wenn Sie sicher sind, dass der CSV-Verwaltungsverkehr zu 100% isoliert ist und nicht durch Backup-Verkehr und andere Datenübertragungen beeinträchtigt werden kann. Andernfalls kann es passieren, dass die Herzschläge nicht rechtzeitig ankommen und Hyper-V den Knoten vollständig abschaltet.
Wie bei allen Hyper-V-Sicherungen kann es je nach Host- und Gastbetriebssystem vorkommen, dass Hyper-V kurz vor der Sicherung einen winzigen Kontrollpunkt "einschiebt", der unmittelbar nach der Init-Phase gelöscht wird. Diese Checkpoint-Datei erscheint in den Sicherungsordnern als *.AVHDX. Darüber hinaus finden Sie auch andere AVHD / X in den Backup-Ordnern, wenn die VM andere Checkpoints hat.
Wir empfehlen, Checkpoints nicht zu verwenden, und wenn Sie sie verwenden, sollten sie nur für kurze Zeit verwendet werden. Bei der Verwendung von Checkpoints gibt es auch einige Nachteile und Risiken zu beachten. Die granulare Wiederherstellung in BackupChain funktioniert nur auf VHD / X-Basis. Checkpoints können mit dieser Funktion nicht inspiziert werden, d.h. eine vollständige Wiederherstellung ist wahrscheinlicher, wenn die gewünschten Dateien nicht in der VHD-Hauptdatei gefunden werden können. Wenn Sie einen Checkpoint in Hyper-V erstellen, wird der VHD eingefroren (und frühere Checkpoints auch) und ein neuer AVHD/X wird erstellt. Alle Änderungen innerhalb der VM werden in Zukunft sektorweise auf den AVHD geschrieben. Beim Löschen des Checkpoints muss der Inhalt der AVHDs mit dem übergeordneten VHD zusammengeführt werden, was eine Weile dauern kann.
Die Nachteile sind höhere Komplexität und langsamere Hosts und Netzwerkzugänge. Risiken sind möglicher Datenverlust, es gab bereits mehrere Fehler in Hyper-V, die zu einem vollständigen Verlust führten. Einige risikoreiche Phasen sind geblieben, z.B. der Merge-Prozess, wenn ein Checkpoint gelöscht wird oder wenn VHD-Referenzen bei der Erstellung von Checkpoints eingerichtet werden. Wenn z.B. das System gesichert wird oder bei einem Stromausfall, bei dem auch der Speicher des CSV getrennt wird und zusätzlich betroffen ist, besteht die Gefahr der Datenverfälschung. Microsoft hat natürlich das VHDX-Format verbessert, um die Risiken zu verringern, aber virtuelle Festplatten sind sicherlich nicht zu 100 % gegen Korruption aus allen Gründen geschützt.
Abonnieren
Posts (Atom)