Servidores Hyper-V Backup e DMZ Seguros: Um Guia de Como Fazer

Do ponto de vista da segurança, uma opção segura que está a ser utilizada, por exemplo, pelos fornecedores de alojamento VPS com os quais trabalhamos, é para a DMZ os VMs, não o anfitrião hiper-v.

Ao DMZ-ing os VMs em vez do anfitrião, é possível aceder e fazer cópias de segurança do anfitrião como habitualmente e ter apenas os VMs expostos ao exterior. Os atacantes não podem aceder facilmente ao hospedeiro a partir do VM. Apenas os serviços de integração Hyper-V permitiriam potencial e teoricamente algum software malicioso talvez falar com o anfitrião; contudo, a Microsoft tem salvaguardado isto bastante bem até agora.

Todas as estratégias, incluindo as acima referidas, têm os seus próprios prós e contras:

    Adicionar um novo NAS de backup na LAN interna e abrir a porta entre DMZ Hyper-V Server para backups

Nesse caso, o atacante assume o hospedeiro e pode fazer o que quiser, incluindo danificar o dispositivo de salvaguarda. A propósito, o serviço de resgate também o faz. Pode encontrar partilhas de acesso à rede e danificar todos os ficheiros aí também.

    Adicionando um novo NAS na zona DMZ. Pro: não há necessidade de alterar nada na firewall

Nesse caso, a desvantagem é que o atacante poderia obter acesso total ao hospedeiro, a todos os VMs e a todos os backups do mesmo, deixando-o potencialmente sem nada para restaurar no caso de um ataque.

Se você DMZ todas as VMs usando endereços IP estáticos, o risco é limitado aos internos de cada VM. A desvantagem é que precisa de DMZ todas as VMs separadamente, mas o anfitrião permaneceria na rede interna e protegido tal como está, incluindo backups, etc.

Outro "truque" de segurança é configurar um switch virtual isolado e anexar um NIC separado para essas DMZ VMs, para que as VMs não tenham forma de falar com a rede interna, incluindo o anfitrião. Isso dar-lhe-ia outra camada de segurança no caso de alguém invadir a VM.

Experimente esta solução de backup para proteger os seus Servidores Hyper-V e VMs a um preço baixo.

Hyper-V CSV backup: O que precisa de ser considerado para backups de VM?

Os seguintes pontos devem ser observados ao efectuar o backup de VMs Hyper-V para CSVs.

1.    A última versão do seu BackupChain deve ser utilizada
2.    Todos os ficheiros VM devem ser guardados no mesmo CSV
3.    O backup só deve ser feito através do separador Hyper-V. A cópia de segurança completa da imagem do servidor não deve incluir volumes CSV; deve incluir apenas o SO do sistema e, opcionalmente, discos de dados.
4.    Se for provável que as VMs sejam movidas para outros nós, a função de selecção automática deve ser utilizada em vez de seleccionar as VMs da lista Um limite de velocidade é activado quando a opção de cluster é definida quando a tarefa é criada. Isto pode ser aumentado ou desligado se tiver a certeza de que o tráfego de gestão CSV está 100% isolado e não pode ser afectado pelo tráfego de backup e outras transferências de dados. Caso contrário, pode acontecer que os batimentos cardíacos não cheguem a tempo e o Hyper-V desligue completamente o nó

Como com todas as cópias de segurança do Hyper-V, dependendo do sistema operativo anfitrião e do sistema operativo convidado, pode acontecer que o Hyper-V "deslize" num pequeno ponto de verificação pouco antes da cópia de segurança, que é apagada imediatamente após a fase de init. Este ficheiro de ponto de verificação aparece nas pastas de cópia de segurança como * .AVHDX. Além disso, também encontrará outros AVHD / X nas pastas de cópia de segurança se a VM tiver outros pontos de verificação.

Recomendamos que os pontos de verificação não sejam utilizados e, se os utilizar, devem ser utilizados apenas por um curto período de tempo. Ao utilizar os pontos de controlo, há também algumas desvantagens e riscos a considerar. A recuperação granular em BackupChain só funciona com base em VHD / X. Os pontos de controlo não podem ser inspeccionados com essa característica, ou seja, uma recuperação completa é mais provavelmente necessária se os ficheiros desejados não puderem ser encontrados no ficheiro VHD principal. Quando se cria um ponto de controlo em Hyper-V, o VHD é congelado (e os pontos de controlo anteriores também o são) e é criado um novo AVHD/X. Todas as alterações dentro do VM serão no futuro escritas no AVHD com base num sector. Ao apagar o ponto de controlo, o conteúdo do AVHD deve ser fundido com o VHD pai, o que pode demorar algum tempo.

As desvantagens são uma maior complexidade e um acesso mais lento aos anfitriões e à rede. Os riscos são possíveis perdas de dados, já existiam vários bugs no Hyper-V que levaram à perda total. Algumas fases de risco permaneceram, por exemplo, o processo de fusão quando um ponto de controlo é eliminado ou quando as referências VHD são configuradas quando os pontos de controlo são criados. Se, por exemplo, o sistema tiver uma cópia de segurança ou houver uma falha de energia, a memória do CSV é também separada e adicionalmente afectada, há um risco de corrupção de dados. A Microsoft melhorou naturalmente o formato VHDX para reduzir os riscos, mas os discos rígidos virtuais não estão certamente 100% protegidos contra a corrupção de todas as causas.