セキュリティの観点から、例えば私たちが協力しているVPSホスティングプロバイダが使用している安全なオプションは、ハイパーvホストではなくVMをDMZ化することです。
ホストの代わりにVMをDMZ化することで、通常通りにホストにアクセスしてバックアップを取ることができ、VMだけを外部に露出させることができます。攻撃者はVMからホストに簡単にアクセスできません。Hyper-Vの統合サービスだけが、おそらく悪意のあるソフトウェアがホストと通信することを許してしまう可能性があります。
上記を含むすべての戦略には、それぞれ長所と短所があります。
内部LANに新しいバックアップNASを追加し、バックアップ用のDMZ Hyper-V Server間のポートを開く
その場合、攻撃者はホストを乗っ取り、バックアップデバイスの破損を含め、何でもできるようになります。ところで、ランサムウェアもこのようなことをします。ネットワークアクセスの共有を見つけ、そこにあるすべてのファイルにもダメージを与えることができます。
DMZに新しいNASを追加する。プロ:ファイアウォールで何も変更する必要がない
この場合の欠点は、攻撃者がホスト、その上のすべての VM、およびその上のすべてのバックアップへのフルアクセスを得ることができ、攻撃された場合には何も復元できなくなる可能性があるということです。
静的 IP アドレスを使用してすべての VM を DMZ した場合、リスクは各 VM の内部に限定されます。欠点は、すべての VM を個別に DMZ する必要があることですが、ホストは内部ネットワーク上に残り、バックアップなどを含めてそのまま保護されます。
もう一つのセキュリティの「トリック」は、隔離された仮想スイッチをセットアップして、DMZしたVM用に別のNICをアタッチして、VMがホストを含む内部ネットワークと通信できないようにすることです。これにより、誰かがVMをハッキングした場合に備えて、セキュリティのもう一つの層を確保することができます。
低価格でHyper-VサーバとVMを保護するために、このバックアップソリューションをお試しください。
2020年8月26日水曜日
Hyper-VバックアップとセキュアなDMZサーバ。ハウツーガイド
Hyper-VのCSVバックアップ。VMのバックアップで注意すべき点は?
Hyper-VのVMをCSVにバックアップする際には、以下の点に注意する必要があります。
1. 最新バージョンのBackupChainを使用する必要があります
2. すべてのVMファイルは、同じCSVに保存されている必要があります。
3. 3. バックアップは Hyper-V タブからのみ実行してください。完全なサーバーイメージのバックアップにはCSVボリュームを含めてはならず、システムOSとオプションでデータディスクのみを含める必要があります。
4. 4. VM が他のノードに移動する可能性が高い場合は、リストから VM を選択するのではなく、自動選択機能を使用する必要があります。 タスクの作成時にクラスターオプションが設定されている場合、速度制限が有効になります。これは、CSV 管理トラフィックが 100% 隔離されており、バックアップトラフィックやその他のデータ転送の影響を受けないことを確認している場合に、速度を上げるか、またはオフに切り替えることができます。そうしないと、ハートビートが間に合わず、Hyper-V がノードを完全にオフにしてしまうということが起こりえます。
すべてのHyper-Vバックアップと同様に、ホストとゲストOSによっては、バックアップの直前にHyper-Vが小さなチェックポイントを「スライドイン」することがありますが、このチェックポイントはinitフェーズの直後に削除されます。このチェックポイントファイルは、バックアップフォルダ内に* .AVHDXとして表示されます。また、VMに他のチェックポイントがある場合は、バックアップフォルダ内に他のAVHD / Xが表示されます。
チェックポイントは使用しないことをお勧めしますし、使用する場合は短時間だけ使用するようにしてください。チェックポイントを使用する場合は、デメリットやリスクも考慮する必要があります。BackupChainでの粒状回復はVHD / Xベースでしか機能しない。つまり、メインのVHDファイル内に目的のファイルが見つからない場合は、完全なリカバリーが必要になる可能性が高くなります。Hyper-Vでチェックポイントを作成すると、VHDは凍結され(以前のチェックポイントも凍結されます)、新しいAVHD/Xが作成されます。VM内のすべての変更は、将来的にセクタ単位でAVHDに書き込まれます。チェックポイントを削除する際には、AVHDの内容を親VHDにマージする必要がありますが、これには時間がかかります。
欠点は、複雑さが増し、ホストやネットワークアクセスが遅くなることです。リスクとしては、データ損失の可能性があり、すでにHyper-Vには完全な損失につながるいくつかのバグがありました。チェックポイントが削除されたときのマージ処理や、チェックポイント作成時のVHD参照設定など、いくつかのリスクのあるフェーズが残っています。例えば、システムのバックアップや停電が発生した場合、CSVのメモリも分離され、追加で影響を受けるため、データが破損するリスクがあります。もちろんMicrosoftはVHDX形式を改良してリスクを軽減していますが、仮想ハードディスクはあらゆる原因からの破損から100%保護されているわけではないのは確かです。