从安全的角度来看,一个安全的选择,正在使用的VPS托管提供商,例如,我们的工作,是DMZ的虚拟机,而不是hyper-v主机。
通过DMZ-虚拟机而不是主机,你可以像往常一样访问和备份主机,只有虚拟机暴露在外面。攻击者无法轻易从虚拟机访问主机。只有Hyper-V集成服务会潜在地、理论上允许一些恶意软件或许与主机对话;不过,到目前为止,微软在这一点上保障得相当好。
包括上述在内的所有策略都有各自的优缺点。
在内部局域网中增加一个新的备份NAS,并开放DMZ Hyper-V Server之间的端口进行备份。
在这种情况下,攻击者接管了主机,可以为所欲为,包括破坏备份设备。顺便说一下,勒索软件也会这样做。它可以找到网络访问共享,也可以破坏那里的所有文件。
在DMZ中添加一个新的NAS。优点:不需要改变防火墙中的任何东西。
在这种情况下,缺点是攻击者可以获得对主机、其上所有虚拟机以及所有备份的完全访问权,从而使您在受到攻击时可能没有任何东西可以恢复。
如果你使用静态IP地址对所有的虚拟机进行DMZ,风险就会被限制在每个虚拟机的内部。缺点是你需要分别DMZ所有的虚拟机,但主机仍将在内部网络上,并按原样保护,包括备份等。
另一个安全 "技巧 "是设置一个隔离的虚拟交换机,并为这些DMZ虚拟机附加一个单独的NIC,这样虚拟机就无法与内部网络(包括主机)交谈。这样就能给你多一层安全保障,以防有人入侵虚拟机。
试试这个备份解决方案,以低廉的价格保护你的Hyper-V服务器和虚拟机。
评论
发表评论