L'hôte de virtualisation doit-il être autorisé à exécuter un service?

10

J'ai récemment installé un serveur de virtualisation pour la petite entreprise que je dirige. Ce serveur exécute quelques machines virtuelles utilisées pour le développement, les tests, etc ...

Mon partenaire commercial travaille à distance, j'ai donc également installé un serveur vpn sur l'hôte de virtualisation pour lui permettre d'accéder en toute sécurité aux services de l'entreprise. De plus, toujours sur l'hôte de virtualisation, j'ai installé bacula pour effectuer la sauvegarde des données.

Est-il recommandé / bonne pratique de le faire ou dois-je créer une machine virtuelle supplémentaire pour effectuer des sauvegardes et un VPN? Est-ce une mauvaise idée d'exécuter ces services sur l'hôte lui-même? Si oui, pourquoi?

ubuntu security backup vpn virtualization Giordano
la source

Réponses:

9

L'hôte de virtualisation doit être la machine la plus sécurisée dont vous disposez. La machine la plus sécurisée n'est pas du tout connectée à un réseau ;-)

Dans cette optique, il est préférable de ne proposer aucun service sur vos interfaces publiques. Vous ne devriez même pas y avoir d'adresse IP (un pont pour les machines virtuelles est layer2).

Considérez l'hôte VM comme DMZ: le trafic est interdit, ce qui ne pose aucun problème.

Donc dans votre exemple:

  • VNC: mauvais - c'est un service entrant
  • Sauvegarde: pas de problème - les sessions sont lancées d'ici vers l'extérieur

Mais même dans ce cas - vous ne devriez exécuter que des services qui ne consommeront pas de RAM / CPU / IO sur votre VM-host - sinon vos VM souffriront d'un manque de ressources.

Nils
la source
Je dois dire que je partage votre point de vue, maintenant que vous rappelez ces faits. Le fait de placer un VPN et des services de sauvegarde sur une machine virtuelle distincte facilitera également la migration future (si cela s'avère nécessaire). Je ne configurerai qu'une seule carte réseau pour l'accès au réseau interne, car le serveur n'est pas facilement accessible. Les autres NICS seront mis en mode ponté. Merci!
Giordano
5

Je suggère de séparer les fonctions VPN d'un pare-feu matériel ou d'un appareil séparé ... Par exemple, que se passe-t-il si le serveur est en panne?

Mais au lieu de cela, il est possible d'utiliser votre hôte de virtualisation existant comme terminus pour votre VPN. Les sauvegardes ne sont pas nécessairement un problème non plus.

Cela ressemble à une petite configuration (quel type de matériel utilisez-vous?), Mais si vous le demandez, peut-être avez-vous des réserves? Pourquoi pensez- vous que ce ne soit pas une bonne idée?

ewwhite
la source
J'ai un Dell PowerEdge T410 assez puissant, avec 2 processeurs et 32 ​​Go de RAM. Mes inquiétudes sont plutôt du côté de la sécurité, car je sais qu'il faut peu de temps pour pénétrer dans un système mal configuré ^^ Je n'ai pas eu de réponse claire à ce sujet donc j'ai décidé de demander.
Giordano
3
@ Giordano Le point qu'il fait valoir est que si ce serveur redémarre pour une raison quelconque (problème matériel, problème d'alimentation) et ne revient pas correctement, il sera impossible de dépanner à distance. Si votre VPN est sur un appareil comme votre pare-feu, vous pourrez vous connecter au DRAC et peut-être le faire fonctionner.
MDMarra
Tout à fait vrai, un autre très bon point. Actuellement, je n'ai pas de gros problèmes pour accéder au serveur (il est dans le même bâtiment), mais acheter un appareil pour VPN est certainement une bonne chose. Merci de l'avoir signalé.
Giordano