โฮสต์การจำลองเสมือนควรได้รับอนุญาตให้เรียกใช้บริการใด ๆ

10

ฉันเพิ่งติดตั้งเซิร์ฟเวอร์เวอร์ชวลไลเซชันสำหรับ บริษัท ขนาดเล็กที่ฉันใช้งานอยู่ เซิร์ฟเวอร์นี้ใช้งานเครื่องเสมือนสองสามเครื่องที่ใช้สำหรับการพัฒนาการทดสอบและอื่น ๆ ...

พันธมิตรธุรกิจของฉันทำงานจากที่ตั้งระยะไกลดังนั้นฉันจึงติดตั้งเซิร์ฟเวอร์ vpn บนโฮสต์การจำลองเสมือนเพื่อให้เขาสามารถเข้าถึงบริการของ บริษัท ได้อย่างปลอดภัย ยิ่งไปกว่านั้นบนโฮสต์การจำลองเสมือนฉันติดตั้ง bacula เพื่อทำการสำรองข้อมูล

จะแนะนำ / วิธีปฏิบัติที่ดีในการทำเช่นนั้นหรือฉันควรสร้างเครื่องเสมือนอีกหนึ่งเครื่องเพื่อสำรองข้อมูลและ VPN? เป็นความคิดที่ดีหรือไม่ที่จะใช้บริการเหล่านี้กับโฮสต์เอง ถ้าใช่ทำไม

ubuntu  security  backup  vpn  virtualization 
Giordano
แหล่งที่มา

คำตอบ:

9

โฮสต์ virtualizaton ควรเป็นเครื่องที่ปลอดภัยที่สุดที่คุณมี เครื่องที่ปลอดภัยที่สุดคือเครื่องที่ไม่ได้เชื่อมต่อกับเครือข่ายเลย ;-)

การทราบว่าเป็นการดีที่สุดที่จะไม่เสนอบริการใด ๆ บนส่วนต่อประสานสาธารณะของคุณ คุณไม่ควรมี IP ที่นั่น (บริดจ์สำหรับ VMs คือ layer2)

คิดว่าโฮสต์ VM เป็น DMZ: การรับส่งข้อมูลภายในเป็นสิ่งต้องห้ามโดยไม่มีปัญหา

ดังนั้นในตัวอย่างของคุณ:

  • VNC: แย่ - นี่คือบริการที่เข้ามา
  • สำรองข้อมูล: ไม่มีปัญหา - เซสชันเริ่มต้นจากที่นี่ไปสู่ภายนอก

แต่ถึงอย่างนั้นคุณก็ควรใช้บริการที่จะไม่กิน RAM / CPU / IO บน VM-host ของคุณ - มิฉะนั้น VM ของคุณจะประสบกับการขาดทรัพยากร

นิลส์
แหล่งที่มา
ฉันต้องบอกว่าฉันแบ่งปันมุมมองของคุณตอนนี้คุณชี้ให้เห็นข้อเท็จจริงเหล่านี้ การใส่ VPN และบริการสำรองข้อมูลไว้ใน VM ที่แยกต่างหากจะช่วยให้การโยกย้ายในอนาคตง่ายขึ้น (หากจำเป็นต้องใช้) ฉันจะกำหนดค่า NIC เดียวเท่านั้นสำหรับการเข้าถึงในเครือข่ายภายในเนื่องจากเซิร์ฟเวอร์ไม่สามารถเข้าถึงได้ง่าย NICS อื่น ๆ จะอยู่ในโหมดเชื่อมต่อ ขอบคุณ!
Giordano
5

ฉันขอแนะนำให้แยกฟังก์ชั่น VPN ไปยังไฟร์วอลล์ที่ใช้ฮาร์ดแวร์หรืออุปกรณ์แยกต่างหาก ... เช่นจะเกิดอะไรขึ้นถ้าเซิร์ฟเวอร์ทำงานล้มเหลว

แต่แทนที่จะเป็นเช่นนั้นคุณสามารถใช้โฮสต์การจำลองเสมือนที่มีอยู่เป็นปลายทางสำหรับ VPN ของคุณ การสำรองข้อมูลไม่จำเป็นต้องเป็นปัญหาเช่นกัน

ดูเหมือนว่าจะเป็นการตั้งค่าเล็ก ๆ (คุณใช้ฮาร์ดแวร์ประเภทใด) แต่ถ้าคุณถามคุณอาจจะจองไว้บ้าง ทำไมคุณคิดว่ามันอาจไม่ใช่ความคิดที่ดี

ewwhite
แหล่งที่มา
ฉันมี Dell PowerEdge T410 ที่ทรงพลังทีเดียวพร้อมโปรเซสเซอร์ 2 ตัวและ RAM 32GB ความกังวลของฉันมีมากขึ้นในด้านความปลอดภัยเนื่องจากฉันรู้ว่าใช้เวลาเล็กน้อยในการเจาะเข้าสู่ระบบที่ไม่ได้รับการกำหนดค่าอย่างดี ^^ ฉันไม่เคยได้รับคำตอบที่ชัดเจนในหัวข้อนี้ดังนั้นฉันจึงตัดสินใจถาม
Giordano
3
@Giordano จุดที่เขาทำอยู่ก็คือหากเซิร์ฟเวอร์นั้นทำการรีบูตด้วยเหตุผลบางอย่าง (ปัญหาฮาร์ดแวร์ปัญหาพลังงาน) และไม่ได้กลับมาอย่างหมดจดจะไม่สามารถแก้ไขปัญหาจากระยะไกลได้ หาก VPN ของคุณอยู่ในอุปกรณ์เช่นไฟร์วอลล์ของคุณคุณจะสามารถเชื่อมต่อกับ DRAC และอาจทำงานได้
MDMarra
จริงมากมากอีกจุดที่ดีมาก ขณะนี้ฉันไม่มีปัญหาใหญ่ในการเข้าถึงเซิร์ฟเวอร์ (อยู่ในอาคารเดียวกัน) แต่การซื้ออุปกรณ์สำหรับ VPN เป็นการย้ายที่ดีแน่นอน ขอบคุณที่ชี้นำสิ่งนี้
Giordano
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.