Do ponto de vista da segurança, uma opção segura que está a ser utilizada, por exemplo, pelos fornecedores de alojamento VPS com os quais trabalhamos, é para a DMZ os VMs, não o anfitrião hiper-v.
Ao DMZ-ing os VMs em vez do anfitrião, é possível aceder e fazer cópias de segurança do anfitrião como habitualmente e ter apenas os VMs expostos ao exterior. Os atacantes não podem aceder facilmente ao hospedeiro a partir do VM. Apenas os serviços de integração Hyper-V permitiriam potencial e teoricamente algum software malicioso talvez falar com o anfitrião; contudo, a Microsoft tem salvaguardado isto bastante bem até agora.
Todas as estratégias, incluindo as acima referidas, têm os seus próprios prós e contras:
Adicionar um novo NAS de backup na LAN interna e abrir a porta entre DMZ Hyper-V Server para backups
Nesse caso, o atacante assume o hospedeiro e pode fazer o que quiser, incluindo danificar o dispositivo de salvaguarda. A propósito, o serviço de resgate também o faz. Pode encontrar partilhas de acesso à rede e danificar todos os ficheiros aí também.
Adicionando um novo NAS na zona DMZ. Pro: não há necessidade de alterar nada na firewall
Nesse caso, a desvantagem é que o atacante poderia obter acesso total ao hospedeiro, a todos os VMs e a todos os backups do mesmo, deixando-o potencialmente sem nada para restaurar no caso de um ataque.
Se você DMZ todas as VMs usando endereços IP estáticos, o risco é limitado aos internos de cada VM. A desvantagem é que precisa de DMZ todas as VMs separadamente, mas o anfitrião permaneceria na rede interna e protegido tal como está, incluindo backups, etc.
Outro "truque" de segurança é configurar um switch virtual isolado e anexar um NIC separado para essas DMZ VMs, para que as VMs não tenham forma de falar com a rede interna, incluindo o anfitrião. Isso dar-lhe-ia outra camada de segurança no caso de alguém invadir a VM.
Experimente esta solução de backup para proteger os seus Servidores Hyper-V e VMs a um preço baixo.
terça-feira, 25 de agosto de 2020
Servidores Hyper-V Backup e DMZ Seguros: Um Guia de Como Fazer
Subscrever:
Enviar feedback (Atom)
Sem comentários:
Enviar um comentário