Desde el punto de vista de la seguridad, una opción segura que está siendo utilizada por ejemplo por los proveedores de hospedaje de VPS con los que trabajamos, es DMZ las VMs, no el hospedaje hiper-v.
Al DMZ-ing las VMs en lugar del host, se puede acceder y hacer una copia de seguridad del host como de costumbre y tener sólo las VMs expuestas al exterior. Los atacantes no pueden acceder fácilmente al host desde la máquina virtual. Sólo los servicios de integración de Hyper-V permitirían, potencial y teóricamente, que algún software malicioso tal vez hable con el host; sin embargo, Microsoft ha salvaguardado esto bastante bien hasta ahora.
Todas las estrategias, incluidas las anteriores, tienen sus propios pros y contras:
Agregar un nuevo NAS de respaldo en la LAN interna y abrir el puerto entre el Servidor DMZ Hyper-V para los respaldos
En ese caso el atacante se hace cargo del anfitrión y puede hacer lo que quiera, incluso dañar el dispositivo de reserva. Por cierto, el software de rescate también hace esto. Puede encontrar accesos compartidos a la red y dañar todos los archivos de allí también.
Añadiendo un nuevo NAS en la DMZ. Pro: no hay necesidad de cambiar nada en el firewall
En ese caso, la desventaja es que el atacante podría tener acceso total al host, a todas las máquinas virtuales que hay en él y a todas las copias de seguridad, lo que le dejaría potencialmente sin nada de lo que restaurar en caso de un ataque.
Si DMZ todos los VM usando direcciones IP estáticas, el riesgo se limita a los internos de cada VM. La desventaja es que necesitas DMZ todos los VMs por separado, pero el host permanecería en la red interna y protegido tal como está, incluyendo las copias de seguridad, etc.
Otro "truco" de seguridad es configurar un switch virtual aislado y adjuntar un NIC separado para esas máquinas virtuales DMZ para que las máquinas virtuales no tengan forma de hablar con la red interna, incluyendo el host. Eso le daría otra capa de seguridad en caso de que alguien hackee la máquina virtual.
Pruebe esta solución de respaldo para proteger sus servidores Hyper-V y VMs a un precio bajo.
martes, 25 de agosto de 2020
Respaldo de Hyper-V y servidores DMZ seguros: Una guía de cómo hacerlo
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario