L'host di virtualizzazione dovrebbe poter eseguire qualsiasi servizio?

10

Di recente ho installato un server di virtualizzazione per la piccola azienda che gestisco. Questo server esegue alcune macchine virtuali che vengono utilizzate per lo sviluppo, i test, ecc ...

Il mio business partner lavora da una postazione remota, quindi ho anche installato un server VPN sull'host di virtualizzazione per consentirgli di raggiungere in sicurezza i servizi dell'azienda. Inoltre, sempre sull'host di virtualizzazione, ho installato bacula per eseguire il backup dei dati.

È consigliabile / buona pratica farlo o devo creare un'altra macchina virtuale per eseguire backup e VPN? È una cattiva idea eseguire questi servizi sull'host stesso? Se si, perché?

ubuntu  security  backup  vpn  virtualization 
Giordano
fonte

Risposte:

9

L'host virtualizaton dovrebbe essere la macchina più sicura che hai. La macchina più sicura è quella che non è affatto connessa a una rete ;-)

Tenendo presente ciò, è meglio non offrire alcun servizio sulle interfacce pubbliche. Non dovresti nemmeno avere un IP lì (un bridge per VM è layer2).

Pensa all'host di macchine virtuali come a DMZ: il traffico al suo interno è vietato, senza generare problemi.

Quindi nel tuo esempio:

  • VNC: Bad - questo è un servizio in arrivo
  • Backup: nessun problema: le sessioni vengono avviate da qui verso l'esterno

Ma anche allora - dovresti eseguire solo servizi che non consumeranno RAM / CPU / IO sul tuo host di macchine virtuali - altrimenti le tue macchine virtuali soffriranno di mancanza di risorse.

Nils
fonte
Devo dire che condivido la tua opinione, ora che fai notare questi fatti. L'inserimento di servizi VPN e di backup su una VM separata faciliterà anche la migrazione futura (se mai sarà richiesta). Configurerò solo una scheda NIC per l'accesso nella rete interna, poiché il server non è facilmente raggiungibile. L'altro NICS verrà messo in modalità bridge. Grazie!
Giordano,
5

Suggerirei di separare le funzioni VPN da un firewall basato su hardware o da un dispositivo separato ... Ad esempio, cosa succede se il server è inattivo?

Invece, è possibile utilizzare l'host di virtualizzazione esistente come capolinea per la tua VPN. I backup non sono necessariamente un problema.

Sembra una piccola configurazione (che tipo di hardware stai usando?), Ma se stai chiedendo, forse hai delle riserve? Perché si pensa che non può essere una buona idea?

ewwhite
fonte
Ho un Dell PowerEdge T410 abbastanza potente, con 2 processori e 32 GB di RAM. Le mie preoccupazioni sono più dal punto di vista della sicurezza, poiché so che ci vuole poco per entrare in un sistema che non è ben configurato ^^ Non ho mai avuto una risposta chiara su questo argomento, quindi ho deciso di chiedere.
Giordano,
3
@Giordano Il punto che sta facendo è che se quel server si riavvia per qualche motivo (problema hardware, problema di alimentazione) e non si ripristina in modo pulito, sarà impossibile risolvere i problemi in remoto. Se la tua VPN si trova su un dispositivo come il tuo firewall, sarai in grado di collegarti al DRAC e magari farlo funzionare.
MDMarra,
Molto vero, un altro ottimo punto. Attualmente non ho grossi problemi ad accedere al server (si trova nello stesso edificio), tuttavia l'acquisto di un dispositivo per VPN è sicuramente una buona mossa. Grazie per averlo segnalato.
Giordano,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.