¿Debería permitirse que el host de virtualización ejecute algún servicio?

10

Recientemente configuré un servidor de virtualización para la pequeña empresa que estoy ejecutando. Este servidor ejecuta pocas máquinas virtuales que se utilizan para el desarrollo, pruebas, etc.

Mi socio comercial trabaja desde una ubicación remota, por lo que también instalé un servidor vpn en el host de virtualización para que pueda comunicarse con los servicios de la compañía de manera segura. Además, nuevamente en el host de virtualización, instalé bacula para realizar la copia de seguridad de los datos.

¿Es aconsejable / una buena práctica hacerlo o debería crear una máquina virtual más para hacer copias de seguridad y VPN? ¿Es una mala idea ejecutar estos servicios en el propio host? ¿Si es así por qué?

ubuntu security backup vpn virtualization Giordano
fuente

Respuestas:

9

El host virtualizaton debería ser la máquina más segura que tenga. La máquina más segura es aquella que no está conectada a una red ;-)

Teniendo esto en cuenta, es mejor no ofrecer ningún servicio en sus interfaces públicas. Ni siquiera debería tener una IP allí (un puente para máquinas virtuales es layer2).

Piense en el VM-host como DMZ: el tráfico en él está prohibido, no origina ningún problema.

Entonces en tu ejemplo:

  • VNC: Malo - este es un servicio entrante
  • Copia de seguridad: no hay problema: las sesiones se inician desde aquí hacia afuera

Pero incluso entonces, solo debe ejecutar servicios que no consuman RAM / CPU / IO en su VM-host; de lo contrario, sus VM sufrirán falta de recursos.

Nils
fuente
Debo decir que comparto su punto de vista, ahora que señala estos hechos. Poner VPN y servicios de copia de seguridad en una VM separada también facilitará la migración futura (si alguna vez se requiere). Configuraré solo una NIC para acceder a la red interna, ya que el servidor no es fácilmente accesible. Los otros NICS se pondrán en modo puente. ¡Gracias!
Giordano
5

Sugeriría separar las funciones de VPN a un firewall basado en hardware o dispositivo separado ... Por ejemplo, ¿qué sucede si el servidor está inactivo?

Pero en lugar de eso, es posible usar su host de virtualización existente como terminal para su VPN. Las copias de seguridad tampoco son necesariamente un problema.

Esto suena como una configuración pequeña (¿qué tipo de hardware está utilizando?), Pero si lo está preguntando, ¿quizás tenga algunas reservas? ¿Por qué usted piensa que puede no ser una buena idea?

ewwhite
fuente
Tengo un Dell PowerEdge T410 bastante potente, con 2 procesadores y 32 GB de RAM. Mis preocupaciones están más en el lado de la seguridad, ya que sé que se necesita poco para entrar en un sistema que no está bien configurado ^^ Nunca obtuve una respuesta clara sobre este tema, así que decidí preguntar.
Giordano
3
@Giordano El punto que está diciendo es que si ese servidor se reinicia por alguna razón (problema de hardware, problema de energía) y no vuelve a funcionar de manera limpia, será imposible solucionarlo de forma remota. Si su VPN está en un dispositivo como su firewall, podrá conectarse al DRAC y tal vez hacerlo funcionar.
MDMarra
Muy cierto, otro muy buen punto. Actualmente no tengo grandes problemas para acceder al servidor (está en el mismo edificio), sin embargo, comprar un dispositivo para VPN es definitivamente un buen movimiento. Gracias por señalar esto.
Giordano