Du point de vue de la sécurité, une option sûre qui est utilisée par exemple par les fournisseurs d'hébergement de VPS avec lesquels nous travaillons, est de DMZ les VM, et non l'hôte hyper-v.
En mettant en DMZ les VM au lieu de l'hôte, vous pouvez accéder et sauvegarder l'hôte comme d'habitude et n'avoir que les VM exposées à l'extérieur. Les attaquants ne peuvent pas facilement accéder à l'hôte depuis la VM. Seuls les services d'intégration Hyper-V permettraient potentiellement et théoriquement à certains logiciels malveillants de parler à l'hôte ; cependant, Microsoft a assez bien protégé cela jusqu'à présent.
Toutes les stratégies, y compris celles mentionnées ci-dessus, ont leurs propres avantages et inconvénients :
Ajouter un nouveau NAS de sauvegarde dans le réseau local interne et ouvrir le port entre le serveur Hyper-V de la DMZ pour les sauvegardes
Dans ce cas, l'attaquant prend le contrôle de l'hôte et peut faire ce qu'il veut, y compris endommager le dispositif de sauvegarde. Au fait, le logiciel de rançon fait cela aussi. Il peut y trouver des partages d'accès au réseau et y endommager tous les fichiers.
Ajout d'un nouveau NAS dans la DMZ. Pro : pas besoin de changer quoi que ce soit dans le pare-feu
Dans ce cas, l'inconvénient est que l'attaquant pourrait obtenir un accès complet à l'hôte, à toutes les VM qui s'y trouvent et à toutes les sauvegardes, vous laissant potentiellement sans rien à restaurer en cas d'attaque.
Si vous DMZ toutes les VM en utilisant des adresses IP statiques, le risque est limité aux internes de chaque VM. L'inconvénient est que vous devez DMZ toutes les VM séparément, mais l'hôte resterait sur le réseau interne et serait protégé tel quel, y compris les sauvegardes, etc.
Une autre astuce de sécurité consiste à installer un commutateur virtuel isolé et à connecter une carte d'interface réseau distincte pour ces machines de la zone démilitarisée, de sorte que les machines n'aient aucun moyen de communiquer avec le réseau interne, y compris l'hôte. Cela vous donne une autre couche de sécurité au cas où quelqu'un piraterait la VM.
Essayez cette solution de sauvegarde pour protéger vos serveurs Hyper-V et vos VM à un prix avantageux.
mardi 25 août 2020
Sauvegarde Hyper-V et serveurs DMZ sécurisés : Un guide pratique
Inscription à :
Publier les commentaires (Atom)
Aucun commentaire:
Enregistrer un commentaire