Czy host wirtualizacji powinien mieć możliwość uruchamiania dowolnej usługi?

10

Niedawno skonfigurowałem serwer wirtualizacji dla małej firmy, którą prowadzę. Na tym serwerze działa kilka maszyn wirtualnych używanych do programowania, testowania itp.

Mój partner biznesowy działa ze zdalnej lokalizacji, dlatego zainstalowałem również serwer VPN na hoście wirtualizacji, aby umożliwić mu bezpieczny dostęp do usług firmy. Co więcej, ponownie na hoście wirtualizacji zainstalowałem Baculę, aby wykonać kopię zapasową danych.

Czy jest to zalecane / dobra praktyka, aby to zrobić, czy powinienem utworzyć jeszcze jedną maszynę wirtualną do wykonywania kopii zapasowych i VPN? Czy uruchamianie tych usług na samym hoście jest złym pomysłem? Jeśli tak, dlaczego?

ubuntu security backup vpn virtualization Giordano
źródło

Odpowiedzi:

9

Host wirtualizaton powinien być najbezpieczniejszym posiadanym komputerem. Najbardziej bezpieczna maszyna to taka, która wcale nie jest podłączona do sieci ;-)

Mając to na uwadze, najlepiej nie oferować żadnych usług na publicznych interfejsach. Nie powinieneś nawet mieć tam adresu IP (mostem dla maszyn wirtualnych jest warstwa2).

Pomyśl o hostie VM jako o DMZ: ruch do niego jest zabroniony, nie stanowi żadnego problemu.

W twoim przykładzie:

  • VNC: Źle - jest to usługa przychodząca
  • Kopia zapasowa: nie ma problemu - sesje są inicjowane stąd na zewnątrz

Ale nawet wtedy - powinieneś uruchamiać tylko usługi, które nie pochłoną pamięci RAM / CPU / IO na twoim hoście VM - w przeciwnym razie twoje maszyny wirtualne będą cierpieć z powodu braku zasobów.

Nils
źródło
Muszę powiedzieć, że podzielam pański pogląd, skoro już wskazaliście te fakty. Umieszczenie usług VPN i usług tworzenia kopii zapasowych na osobnej maszynie wirtualnej ułatwi również migrację w przyszłości (jeśli będzie to kiedykolwiek wymagane). Skonfiguruję tylko jedną kartę sieciową dla dostępu do sieci wewnętrznej, ponieważ serwer nie jest łatwo dostępny. Pozostałe NICS zostaną przełączone w tryb pomostowy. Dzięki!
Giordano
5

Sugeruję oddzielenie funkcji VPN od sprzętowej zapory ogniowej lub oddzielnego urządzenia ... Np. Co się stanie, jeśli serwer nie będzie działał?

Zamiast tego istnieje możliwość wykorzystania istniejącego hosta wirtualizacji jako terminala dla sieci VPN. Kopie zapasowe również niekoniecznie stanowią problem.

To brzmi jak mała konfiguracja (jakiego typu sprzętu używasz?), Ale jeśli pytasz, może masz jakieś zastrzeżenia? Dlaczego pan , że to nie może być dobrym pomysłem?

ewwhite
źródło
Mam dość wydajny Dell PowerEdge T410, z 2 procesorami i 32 GB pamięci RAM. Moje obawy dotyczą raczej bezpieczeństwa, ponieważ wiem, że włamanie się do systemu, który nie jest dobrze skonfigurowany, zajmuje niewiele czasu ^^ Nigdy nie otrzymałem jasnej odpowiedzi na ten temat, dlatego postanowiłem zapytać.
Giordano
3
@ Giordano Chodzi mu o to, że jeśli ten serwer uruchomi się ponownie z jakiegoś powodu (problem ze sprzętem, problem z zasilaniem) i nie wróci czysto, niemożliwe będzie zdalne rozwiązanie problemu. Jeśli twoja sieć VPN znajduje się na urządzeniu takim jak zapora ogniowa, będziesz mógł połączyć się z DRAC i być może uruchomić.
MDMarra
Bardzo prawdziwa, kolejna bardzo dobra uwaga. Obecnie nie mam większych problemów z dostępem do serwera (znajduje się on w tym samym budynku), ale zakup urządzenia do VPN jest zdecydowanie dobrym posunięciem. Dzięki za zwrócenie na to uwagi.
Giordano