보안 관점에서 볼 때, 예를 들어 VPS 호스팅 제공업체에서 사용되는 보안 옵션은 하이퍼 V 호스트가 아닌 VM을 DMZ에 사용하는 것입니다.
DMZ-ing을 사용하면 호스트 대신 VM에 액세스하고 백업할 수 있으며 외부에 VM만 노출할 수 있습니다. 공격자는 VM에서 호스트에 쉽게 액세스할 수 없습니다. 하이퍼-V 통합 서비스만이 잠재적으로 이론적으로 일부 악성 소프트웨어가 호스트와 대화할 수 있도록 허용할 것입니다. 그러나, 마이크로소프트는 지금까지 이것을 아주 잘 보호 했다.
위의 모든 전략에는 자체 장단점이 있습니다.
내부 LAN에 새 백업 NAS를 추가하고 백업을 위해 DMZ 하이퍼-V 서버 간 포트를 엽니다.
이 경우 공격자는 호스트를 인수하고 백업 장치를 손상시키는 등 원하는 대로 수행할 수 있습니다. 그런데 랜섬웨어도 그렇게 합니다. 그것은 네트워크 액세스 공유를 찾을 뿐만 아니라 거기에 모든 파일을 손상 시킬 수 있습니다.
DMZ에 새 NAS 추가. 프로: 방화벽에서 변경할 필요가 없습니다.
이 경우 단점은 공격자가 호스트, 호스트의 모든 VM 및 모든 백업에 대한 전체 액세스 권한을 얻을 수 있으므로 공격 시 복원할 수 없습니다.
정적 IP 주소를 사용하여 모든 VM을 DMZ로 비원하는 경우 위험은 각 VM의 내부로 제한됩니다. 단점은 모든 VM을 별도로 DMZ에 필요하지만 호스트는 내부 네트워크에 남아 백업 등을 포함하여 있는 한 보호됩니다.
또 다른 보안 '트릭'은 격리된 가상 스위치를 설정하고 해당 DMZ VM에 대해 별도의 NIC를 첨부하여 VM이 호스트를 포함한 내부 네트워크에 대화할 방법이 없도록 하는 것입니다. 즉, 누군가가 VM에 해킹 하는 경우에 보안의 또 다른 계층을 줄 것 이다.
이 백업 솔루션을 사용하여 저렴한 가격으로 하이퍼 V 서버및 VM을 보호해 보십시오.
댓글
댓글 쓰기