Haruskah host virtualisasi diizinkan untuk menjalankan layanan apa pun?

10

Baru-baru ini saya menyiapkan server virtualisasi untuk perusahaan kecil yang saya jalankan. Server ini menjalankan beberapa mesin virtual yang digunakan untuk pengembangan, pengujian, dll ...

Mitra bisnis saya bekerja dari lokasi yang jauh, jadi saya juga memasang server vpn pada host virtualisasi untuk memungkinkannya menjangkau layanan perusahaan dengan aman. Selain itu, sekali lagi pada host virtualisasi, saya menginstal bacula untuk melakukan pencadangan data.

Apakah disarankan / praktik yang baik untuk melakukannya atau haruskah saya membuat satu mesin virtual lagi untuk melakukan backup dan VPN? Apakah ide buruk untuk menjalankan layanan ini pada host itu sendiri? Jika ya, mengapa?

ubuntu security backup vpn virtualization Giordano
sumber

Jawaban:

9

Tuan rumah virtualizaton harus menjadi mesin paling aman yang Anda miliki. Mesin yang paling aman adalah yang tidak terhubung ke jaringan sama sekali ;-)

Mengingat hal itu, sebaiknya jangan menawarkan layanan apa pun pada antarmuka publik Anda. Anda seharusnya tidak memiliki IP di sana (jembatan untuk VM adalah layer2).

Pikirkan VM-host sebagai DMZ: lalu lintas ke dalamnya dilarang, tidak berasal dari masalah.

Jadi, dalam contoh Anda:

  • VNC: Buruk - ini adalah layanan masuk
  • Cadangan: Tidak masalah - sesi dimulai dari sini ke luar

Tetapi meskipun demikian - Anda hanya harus menjalankan layanan yang tidak akan memakan RAM / CPU / IO pada host-VM Anda - jika tidak VM Anda akan menderita karena kekurangan sumber daya.

Nils
sumber
Saya harus mengatakan bahwa saya memiliki pandangan yang sama dengan Anda, sekarang setelah Anda menunjukkan fakta-fakta ini. Menempatkan layanan VPN dan cadangan di VM terpisah juga akan memudahkan migrasi di masa mendatang (jika itu akan diperlukan). Saya akan mengkonfigurasi hanya satu NIC untuk akses di jaringan internal, karena server tidak mudah dijangkau. NICS lainnya akan dimasukkan ke mode bridged. Terima kasih!
Giordano
5

Saya sarankan memisahkan fungsi VPN ke firewall berbasis perangkat keras atau perangkat terpisah ... Misalnya apa yang terjadi jika server mati?

Tetapi sebagai gantinya, dimungkinkan untuk menggunakan host virtualisasi yang ada sebagai terminal untuk VPN Anda. Backup juga tidak masalah.

Ini terdengar seperti pengaturan kecil (jenis perangkat keras apa yang Anda gunakan?), Tetapi jika Anda bertanya, mungkin Anda memiliki beberapa reservasi? Mengapa Anda pikir itu mungkin bukan ide yang baik?

putih
sumber
Saya memiliki Dell PowerEdge T410 yang cukup kuat, dengan 2 prosesor dan 32GB RAM. Kekhawatiran saya lebih pada sisi keamanan, karena saya tahu bahwa dibutuhkan sedikit untuk masuk ke sistem yang tidak terkonfigurasi dengan baik ^^ Saya tidak pernah mendapat jawaban yang jelas tentang topik ini sehingga saya memutuskan untuk bertanya.
Giordano
3
@Giordano Maksudnya adalah jika server itu melakukan boot ulang karena suatu alasan (masalah perangkat keras, masalah daya) dan tidak muncul kembali dengan bersih, tidak mungkin memecahkan masalah dari jarak jauh. Jika VPN Anda berada di perangkat seperti firewall Anda, Anda akan dapat terhubung ke DRAC dan mungkin membuatnya berjalan.
MDMarra
Sangat benar, poin lain yang sangat bagus. Saat ini saya tidak memiliki masalah besar dalam mengakses server (itu berada di gedung yang sama) namun membeli perangkat untuk VPN jelas merupakan langkah yang baik. Terima kasih telah menunjukkan ini.
Giordano