Sanallaştırma ana bilgisayarının herhangi bir hizmet çalıştırmasına izin verilmeli mi?

10

Kısa süre önce çalıştırdığım küçük şirket için bir sanallaştırma sunucusu kurdum. Bu sunucu geliştirme, test etme vb. İçin kullanılan birkaç sanal makineyi çalıştırır.

İş ortağım uzak bir konumdan çalışıyor, bu yüzden sanallaştırma ana bilgisayarına şirket hizmetlerine güvenli bir şekilde ulaşmasını sağlamak için bir vpn sunucusu kurdum. Dahası, yine sanallaştırma ana bilgisayarında, verilerin yedeğini almak için bacula kurdum.

Bunu yapmak tavsiye edilebilir / iyi bir uygulama mı yoksa yedeklemeler ve VPN yapmak için bir sanal makine daha mı oluşturmalıyım? Bu hizmetleri ana bilgisayarın kendisinde çalıştırmak kötü bir fikir mi? Evet ise, neden?

ubuntu  security  backup  vpn  virtualization 
Giordano
kaynak

Yanıtlar:

9

Virtualizaton ana bilgisayarı sahip olduğunuz en güvenli makine olmalıdır. En güvenli makine bir ağa hiç bağlı olmayan makinedir ;-)

Bunu göz önünde bulundurarak, genel arayüzlerinizde herhangi bir hizmet sunmamak en iyisidir. Orada bir IP'niz bile olmamalı (VM'ler için bir köprü katman2'dir).

VM-ana bilgisayarını DMZ olarak düşünün: içine trafik yasaktır ve sorun çıkarmaz.

Yani örneğinizde:

  • VNC: Kötü - bu gelen bir hizmettir
  • Yedekleme: Sorun yok - oturumlar buradan dışarıya başlatılıyor

Ancak o zaman bile - sadece VM-host'unuzda RAM / CPU / IO'yu yemeyen hizmetleri çalıştırmalısınız - aksi takdirde VM'leriniz kaynak eksikliğinden muzdarip olacaktır.

Nils
kaynak
Bu gerçeklere dikkat çektiğinize göre, görüşünüzü paylaştığımı söylemeliyim. VPN ve yedekleme hizmetlerini ayrı bir VM'ye yerleştirmek de gelecekteki taşımayı kolaylaştıracaktır (eğer gerekirse). Sunucuya kolayca erişilemediğinden, iç ağda erişim için yalnızca bir NIC yapılandıracağım. Diğer NICS köprülü moda alınır. Teşekkürler!
Giordano
5

VPN işlevlerini donanım tabanlı bir güvenlik duvarına veya ayrı bir aygıta ayırmanızı öneririm ... Örneğin, sunucu çalışmıyorsa ne olur?

Ancak bunun yerine, mevcut sanallaştırma ana makinenizi VPN'nizin terminali olarak kullanmak mümkündür. Yedeklemeler de sorun olmak zorunda değildir.

Bu küçük bir kurulum gibi geliyor (ne tür bir donanım kullanıyorsunuz?), Ancak soruyorsanız, belki bazı rezervasyonlarınız var mı? Neden mi sen bunun iyi bir fikir olmayabilir düşünüyorum?

ewwhite
kaynak
2 işlemci ve 32 GB RAM ile oldukça güçlü bir Dell PowerEdge T410'um var. Endişelerim güvenlik tarafında daha fazla, çünkü iyi yapılandırılmamış bir sisteme girmenin çok az zaman aldığını biliyorum ^ ^ Bu konuda asla net bir cevap alamadım ve sormaya karar verdim.
Giordano
3
@Giordano Yaptığı nokta, bu sunucu bir nedenden dolayı yeniden başlatılırsa (donanım sorunu, güç sorunu) ve temiz bir şekilde geri gelmezse, uzaktan sorun gidermenin imkansız olacağıdır. VPN'niz güvenlik duvarınız gibi bir cihazdaysa, DRAC'a bağlanabilir ve belki de çalıştırabilirsiniz.
MDMarra
Çok doğru, başka çok iyi bir nokta. Şu anda sunucuya erişimde büyük sıkıntılar yok (aynı binada) ancak VPN için bir cihaz satın almak kesinlikle iyi bir hamle. Bunu işaret ettiğiniz için teşekkürler.
Giordano
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.