O host de virtualização deve ter permissão para executar qualquer serviço?

10

Recentemente, configurei um servidor de virtualização para a pequena empresa que estou executando. Este servidor executa poucas máquinas virtuais usadas para desenvolvimento, teste, etc ...

Meu parceiro de negócios trabalha em um local remoto, portanto, eu também instalei um servidor VPN no host de virtualização para possibilitar que ele alcance os serviços da empresa com segurança. Além disso, novamente no host de virtualização, instalei o bacula para executar o backup dos dados.

É aconselhável / boa prática fazer isso ou devo criar mais uma máquina virtual para fazer backups e VPN? É uma má idéia executar esses serviços no próprio host? Se sim, por que?

Giordano
fonte

Respostas:

9

O host de virtualização deve ser a máquina mais segura que você possui. A máquina mais segura é aquela que não está conectada a uma rede ;-)

Tendo isso em mente, é melhor não oferecer nenhum serviço em suas interfaces públicas. Você nem deveria ter um IP lá (uma ponte para VMs é a layer2).

Pense no host da VM como DMZ: o tráfego para ele é proibido, originando nenhum problema.

Então, no seu exemplo:

  • VNC: Ruim - este é um serviço recebido
  • Backup: Não há problema - as sessões são iniciadas daqui para fora

Mas mesmo assim - você deve executar apenas serviços que não consomem RAM / CPU / IO no host da sua VM - caso contrário, suas VMs sofrerão com a falta de recursos.

Nils
fonte
Devo dizer que compartilho sua opinião, agora que você aponta esses fatos. A colocação de serviços de VPN e de backup em uma VM separada também facilitará a migração futura (se isso for necessário). Vou configurar apenas uma NIC para acesso à rede interna, pois o servidor não é facilmente acessível. Os outros NICS serão colocados no modo de ponte. Obrigado!
Giordano
5

Eu sugeriria separar as funções da VPN em um firewall baseado em hardware ou dispositivo separado ... Por exemplo, o que acontece se o servidor estiver inoperante?

Mas, em vez disso, é possível usar o host de virtualização existente como o terminal da sua VPN. Os backups também não são necessariamente um problema.

Parece uma configuração pequena (que tipo de hardware você está usando?), Mas se você estiver perguntando, talvez tenha algumas reservas? Por que você acha que pode não ser uma boa ideia?

ewwhite
fonte
Eu tenho um Dell PowerEdge T410 bastante poderoso, com 2 processadores e 32 GB de RAM. Minhas preocupações estão mais no lado da segurança, pois sei que é preciso pouco para entrar em um sistema que não está bem configurado ^ ^ Nunca recebi uma resposta clara sobre esse tópico, então decidi perguntar.
Giordano
3
@ Giordano O argumento que ele está argumentando é que, se o servidor for reiniciado por algum motivo (problema de hardware, problema de energia) e não voltar a funcionar corretamente, será impossível solucionar problemas remotamente. Se a sua VPN estiver em um dispositivo como o seu firewall, você poderá se conectar ao DRAC e talvez executá-lo.
21412 MDMarra
Muito verdade, outro ponto muito bom. Atualmente, não tenho grandes problemas para acessar o servidor (é no mesmo prédio), no entanto, comprar um dispositivo para VPN é definitivamente uma boa decisão. Obrigado por apontar isso.
Giordano