Vom Sicherheitsstandpunkt aus gesehen ist eine sichere Option, die zum Beispiel von VPS-Hosting-Providern, mit denen wir zusammenarbeiten, verwendet wird, die DMZ der VMs und nicht des Hyper-V-Hosts.
Wenn Sie die VMs anstelle des Hosts in die DMZ stellen, können Sie wie gewohnt auf den Host zugreifen und ein Backup erstellen und nur die VMs nach außen freigeben. Angreifer können von der VM aus nicht einfach auf den Host zugreifen. Nur die Hyper-V-Integrationsdienste würden es potentiell und theoretisch einigen Schadprogrammen erlauben, vielleicht mit dem Host zu kommunizieren; allerdings hat Microsoft dies bisher recht gut abgesichert.
Alle Strategien, einschließlich der oben genannten, haben ihre eigenen Vor- und Nachteile:
Hinzufügen eines neuen Backup-NAS im internen LAN und Öffnen des Ports zwischen DMZ Hyper-V Server für Backups
In diesem Fall übernimmt der Angreifer den Host und kann tun, was er will, einschließlich der Beschädigung des Sicherungsgeräts. Übrigens tut Lösegeld auch dies. Sie kann Netzwerkzugriffsfreigaben finden und auch dort alle Dateien beschädigen.
Hinzufügen eines neuen NAS in der DMZ. Vorteil: Sie müssen nichts an der Firewall ändern.
In diesem Fall ist der Nachteil, dass der Angreifer vollen Zugriff auf den Host, alle VMs darauf und alle Backups davon erlangen könnte, so dass Sie im Falle eines Angriffs möglicherweise nichts mehr wiederherstellen können.
Wenn Sie alle VMs, die statische IP-Adressen verwenden, in eine DMZ einteilen, ist das Risiko auf die Interna der einzelnen VMs beschränkt. Der Nachteil ist, dass Sie alle VMs separat DMZen müssen, aber der Host würde im internen Netzwerk und geschützt bleiben, so wie er ist, einschließlich Backups usw.
Ein weiterer "Sicherheitstrick" besteht darin, einen isolierten virtuellen Switch einzurichten und eine separate NIC für diese DMZ-VMs anzuschließen, so dass die VMs keine Möglichkeit haben, mit dem internen Netzwerk, einschließlich des Hosts, zu kommunizieren. Damit hätten Sie eine weitere Sicherheitsebene für den Fall, dass sich jemand in die VM einhackt.
Probieren Sie diese Backup-Lösung aus, um Ihre Hyper-V-Server und VMs zu einem günstigen Preis zu schützen.
Keine Kommentare:
Kommentar veröffentlichen