С точки зрения безопасности, безопасным вариантом, который используется, например, провайдерами VPS-хостинга, с которыми мы работаем, является демилитаризованная зона ВМ, а не гипер-v хост.
Используя DMZ вместо хоста, вы можете получить доступ и создать резервную копию хоста, как обычно, и иметь доступ только к ВМ снаружи. Злоумышленники не могут легко получить доступ к хосту с ВМ. Только службы интеграции Hyper-V потенциально и теоретически разрешают некоторым вредоносным программам, возможно, разговаривать с хостом; однако, Microsoft довольно хорошо защитила это до сих пор.
Все стратегии, включая вышеперечисленные, имеют свои собственные плюсы и минусы:
Добавление нового резервного сетевого хранилища во внутренней локальной сети и открытие порта между серверами DMZ Hyper-V для резервного копирования.
В этом случае злоумышленник захватывает узел и может делать все, что захочет, включая повреждение резервного устройства. Кстати, программы выкупа тоже так делают. Оно может найти общие сетевые ресурсы и повредить там все файлы.
Добавление нового сетевого хранилища в демилитаризованную зону. Про: не нужно ничего менять в брандмауэре
Недостатком является то, что в этом случае злоумышленник может получить полный доступ к хосту, всем виртуальным машинам на нем и всем его резервным копиям, в результате чего вам потенциально нечего будет восстанавливать в случае атаки.
Если вы демилитаризуете все ВМ, использующие статические IP-адреса, риск ограничивается внутренним содержимым каждой ВМ. Недостатком является то, что вам нужно DMZ всех ВМ отдельно, но хост останется во внутренней сети и будет защищен как есть, включая резервное копирование и т.д.
Еще одной хитростью в области безопасности является установка изолированного виртуального коммутатора и прикрепление отдельной сетевой карты для этих ВМ в демилитаризованной зоне, чтобы ВМ не имели возможности разговаривать с внутренней сетью, включая хост. Это даст вам еще один уровень безопасности в случае, если кто-то взломает ВМ.
Попробуйте это решение резервного копирования для защиты своих серверов Hyper-V и виртуальных машин по низкой цене.
Комментариев нет:
Отправить комментарий