Dal punto di vista della sicurezza, un'opzione sicura che viene utilizzata ad esempio dai fornitori di hosting VPS con cui lavoriamo, è quella di DMZ le VM, non l'host iper-v.
DMZ-ingrappando le VM al posto dell'host, è possibile accedere e fare il backup dell'host come al solito e avere solo le VM esposte all'esterno. Gli aggressori non possono accedere facilmente all'host dalla VM. Solo i servizi di integrazione Hyper-V permetterebbero potenzialmente e teoricamente ad alcuni software maligni di parlare con l'host; tuttavia, finora Microsoft ha salvaguardato abbastanza bene questo aspetto.
Tutte le strategie, comprese quelle di cui sopra, hanno i loro pro e i loro contro:
Aggiungere un nuovo NAS di backup nella LAN interna e aprire la porta tra DMZ Hyper-V Server per i backup
In questo caso l'aggressore prende il controllo dell'host e può fare quello che vuole, compreso il danneggiamento del dispositivo di backup. A proposito, anche il ransomware fa questo. Può trovare le condivisioni di accesso alla rete e danneggiare tutti i file anche lì.
Aggiunta di un nuovo NAS nella DMZ. Pro: non c'è bisogno di cambiare nulla nel firewall
In questo caso l'aspetto negativo è che l'aggressore potrebbe ottenere pieno accesso all'host, a tutte le VM su di esso e a tutti i backup, lasciandovi potenzialmente senza nulla da ripristinare in caso di attacco.
Se si DMZ tutte le VM che utilizzano indirizzi IP statici, il rischio è limitato all'interno di ogni VM. Il lato negativo è che è necessario DMZ tutte le VM separatamente, ma l'host rimarrebbe sulla rete interna e protetto così com'è, inclusi i backup ecc.
Un altro "trucco" di sicurezza è quello di impostare uno switch virtuale isolato e collegare una NIC separata per quelle DMZ VM in modo che le VM non abbiano modo di parlare con la rete interna, compreso l'host. In questo modo si ottiene un altro livello di sicurezza nel caso in cui qualcuno si introduca nella VM.
Provate questa soluzione di backup per proteggere i vostri Hyper-V Server e le VM a basso prezzo.
martedì 25 agosto 2020
Hyper-V Backup e Secure DMZ Server: Guida
Iscriviti a:
Commenti sul post (Atom)
Nessun commento:
Posta un commento