Sollte der Virtualisierungshost einen Dienst ausführen dürfen?

10

Ich habe kürzlich einen Virtualisierungsserver für die kleine Firma eingerichtet, die ich leite. Auf diesem Server werden nur wenige virtuelle Maschinen ausgeführt, die zum Entwickeln, Testen usw. verwendet werden.

Mein Geschäftspartner arbeitet von einem Remotestandort aus. Daher habe ich auch einen VPN-Server auf dem Virtualisierungshost installiert, damit er die Unternehmensdienste sicher erreichen kann. Außerdem habe ich wieder auf dem Virtualisierungshost Bacula installiert, um die Sicherung der Daten durchzuführen.

Ist es ratsam / eine gute Praxis, dies zu tun, oder sollte ich eine weitere virtuelle Maschine erstellen, um Backups und VPN durchzuführen? Ist es eine schlechte Idee, diese Dienste auf dem Host selbst auszuführen? Wenn ja, warum?

ubuntu security backup vpn virtualization Giordano
quelle

Antworten:

9

Der Virtualisierungs-Host sollte der sicherste Computer sein, den Sie haben. Die sicherste Maschine ist eine, die überhaupt nicht mit einem Netzwerk verbunden ist ;-)

Vor diesem Hintergrund ist es am besten, keine Dienste auf Ihren öffentlichen Schnittstellen anzubieten. Sie sollten dort nicht einmal eine IP haben (eine Bridge für VMs ist Layer2).

Stellen Sie sich den VM-Host als DMZ vor: Der Datenverkehr ist verboten, was kein Problem darstellt.

Also in Ihrem Beispiel:

  • VNC: Schlecht - Dies ist ein eingehender Dienst
  • Backup: Kein Problem - Sitzungen werden von hier nach außen initiiert

Aber selbst dann - Sie sollten nur Dienste ausführen, die RAM / CPU / IO auf Ihrem VM-Host nicht verbrauchen - leiden Ihre VMs unter Ressourcenmangel.

Nils
quelle
Ich muss sagen, dass ich Ihre Ansicht teile, nachdem Sie auf diese Tatsachen hingewiesen haben. Durch das Speichern von VPN- und Sicherungsdiensten auf einer separaten VM wird auch die zukünftige Migration erleichtert (falls dies jemals erforderlich sein sollte). Ich werde nur eine Netzwerkkarte für den Zugriff im internen Netzwerk konfigurieren, da der Server nicht leicht erreichbar ist. Das andere NICS wird in den Bridged-Modus versetzt. Vielen Dank!
Giordano
5

Ich würde vorschlagen, die VPN-Funktionen durch eine hardwarebasierte Firewall oder ein separates Gerät zu trennen. Was passiert beispielsweise, wenn der Server ausfällt?

Stattdessen ist es jedoch möglich, Ihren vorhandenen Virtualisierungshost als Terminus für Ihr VPN zu verwenden. Backups sind auch nicht unbedingt ein Problem.

Das klingt nach einem kleinen Setup (welche Art von Hardware verwenden Sie?), Aber wenn Sie fragen, haben Sie vielleicht einige Vorbehalte? Warum denkst du , ist das vielleicht keine gute Idee?

ewwhite
quelle
Ich habe einen ziemlich leistungsstarken Dell PowerEdge T410 mit 2 Prozessoren und 32 GB RAM. Meine Bedenken sind eher auf der Sicherheitsseite, da ich weiß, dass es wenig braucht, um in ein System einzudringen, das nicht gut konfiguriert ist ^^ Ich habe zu diesem Thema keine klare Antwort erhalten und habe mich daher entschlossen zu fragen.
Giordano
3
@ Giordano Der Punkt, den er macht, ist, dass es unmöglich ist, eine Remote-Fehlerbehebung durchzuführen, wenn dieser Server aus irgendeinem Grund (Hardwareproblem, Stromversorgungsproblem) neu gestartet wird und nicht sauber wiederhergestellt wird. Wenn sich Ihr VPN auf einem Gerät wie Ihrer Firewall befindet, können Sie eine Verbindung zum DRAC herstellen und ihn möglicherweise zum Laufen bringen.
MDMarra
Sehr wahr, ein weiterer sehr guter Punkt. Derzeit habe ich keine großen Probleme beim Zugriff auf den Server (er befindet sich im selben Gebäude), aber der Kauf eines Geräts für VPN ist definitiv ein guter Schritt. Vielen Dank für den Hinweis.
Giordano