Hyper-V Host vom Netzwerk trennen
Moin Zusammen,
es ist Sonntag und mir kam ein Beitrag von vor einiger Zeit in den Sinn.
Hyper-V trennen vom Rest und vom Web. Man muss ja auch bissel weiter arbeiten an solchen Strukturen und ggf. mal anpassen.
Aktuell hat der Host zwei Schnittstellen mit IP Adressen. Ein externer Switch für die VMs und da hat der HyperV auch eine IP und dann eine Schnittstelle, die im VLAN hängt in dem auch ein Backup-Rechner hängt und das Backup-NAS.
Das heißt aber auch der Hyper-V hat Internetzugang. Wohl nicht so schlau und auch der Zugriff von den VMs auf den Host soll unterbunden werden hab ich hier vernommen, right?
Hat da jemand ein best practice Vorgehen um den Hyper-V so sicher wie möglich zu machen?
Irgendwie finde ich da vieles verschiedenes.
Wie handhabt ihr das?
Grüße und schönen Sonntag noch
es ist Sonntag und mir kam ein Beitrag von vor einiger Zeit in den Sinn.
Hyper-V trennen vom Rest und vom Web. Man muss ja auch bissel weiter arbeiten an solchen Strukturen und ggf. mal anpassen.
Aktuell hat der Host zwei Schnittstellen mit IP Adressen. Ein externer Switch für die VMs und da hat der HyperV auch eine IP und dann eine Schnittstelle, die im VLAN hängt in dem auch ein Backup-Rechner hängt und das Backup-NAS.
Das heißt aber auch der Hyper-V hat Internetzugang. Wohl nicht so schlau und auch der Zugriff von den VMs auf den Host soll unterbunden werden hab ich hier vernommen, right?
Hat da jemand ein best practice Vorgehen um den Hyper-V so sicher wie möglich zu machen?
Irgendwie finde ich da vieles verschiedenes.
Wie handhabt ihr das?
Grüße und schönen Sonntag noch
Please also mark the comments that contributed to the solution of the article
Content-ID: 7148678247
Url: https://administrator.de/contentid/7148678247
Printed on: December 12, 2024 at 18:12 o'clock
6 Comments
Latest comment
Den Hyper-V-Host in ein eigenes VLAN schieben?
Klar kannst du dafür einen weiteren virtuellen Switch verwenden und dort den Haken für "Gemeinsames Verwenden.......". Macht bloß keinen Sinn wenn du den virtuellen Switch für sonst nicht anderes benötigst.
Besser verwendest du NIC-Teaming mit VLANs für dein Vorgehen.
Oder noch einfacher und schneller an der Sophos eine Regel erstellen die den Internet-Traffic von/zum Hyper-V-Host blockiert. Und eben eine weitere Regel für deine Anwendungsfälle, die kannst du dann im Bedarfsfall aktivieren.
Prinzipiell sollte immer alles geblockt sein was man nicht benötigt wird, egal ob Server oder Client und zwar in beide Richtungen, Intern wie extern.
Klar kannst du dafür einen weiteren virtuellen Switch verwenden und dort den Haken für "Gemeinsames Verwenden.......". Macht bloß keinen Sinn wenn du den virtuellen Switch für sonst nicht anderes benötigst.
Besser verwendest du NIC-Teaming mit VLANs für dein Vorgehen.
Oder noch einfacher und schneller an der Sophos eine Regel erstellen die den Internet-Traffic von/zum Hyper-V-Host blockiert. Und eben eine weitere Regel für deine Anwendungsfälle, die kannst du dann im Bedarfsfall aktivieren.
Prinzipiell sollte immer alles geblockt sein was man nicht benötigt wird, egal ob Server oder Client und zwar in beide Richtungen, Intern wie extern.
Und eine weitere hier bei Hyper-V gefahrene Vorgehensweise:
Das Blech des Hyper-V-Servers hat eine zusätzliche Intel-LAN-Steckkarte, deren Ports über NIC-Teaming und Bündelung zum Switch (ausschließlich) den VM's vorbehalten sind. Die beiden LAN-Buchsen des Motherboards nutzt nur der Hyper-V-Host. Über die Konfiguration des/der virtuellen Switches im Hyper-V-Manager kann sichergestellt werden, dass der Hyper-V selbst nicht daran beteiligt ist. Mithin können der Hyper-V-Host und die VM's bereits physisch getrennt angebunden werden, mit allen sich daraus ergebenden Optionen / Vorteilen / Nachteilen.
Viele Grüße
HansDampf06
Das Blech des Hyper-V-Servers hat eine zusätzliche Intel-LAN-Steckkarte, deren Ports über NIC-Teaming und Bündelung zum Switch (ausschließlich) den VM's vorbehalten sind. Die beiden LAN-Buchsen des Motherboards nutzt nur der Hyper-V-Host. Über die Konfiguration des/der virtuellen Switches im Hyper-V-Manager kann sichergestellt werden, dass der Hyper-V selbst nicht daran beteiligt ist. Mithin können der Hyper-V-Host und die VM's bereits physisch getrennt angebunden werden, mit allen sich daraus ergebenden Optionen / Vorteilen / Nachteilen.
Viele Grüße
HansDampf06
Hi @Xaero1982
wir haben das bei uns (allerdings VMWare) wie folgt gelöst, jeweils mind. 2 x 10G Links:
Das vMotion und FT VLAN wird nicht geroutet, hat auch kein Gateway, DNS oder was auch immer, jeder Host hat immer 2 Interfaces und 2 IP Adressen in dem VLAN.
Das VMManagement Netz ist vom restlichen Netz über eine interene pfSense (2 St via CARP HA) getrennt, der Zugriff auf die VMs und das vCenter ist nur für freigeschaltete Server möglich (u.a. Veeam, Admin-Jumphosts usw.), ausgehend ist lediglich DNS und NTP freigeschaltet, die Geräte kommen von sich auch nicht nach draußen, auch ist die Authentifizierung "lokal" am vCenter und nicht gegen eine Domäne um hier bei einer Kompromittierung des ADs nicht in die Gefahr laufen, dass dann auch das gesamte Backend übernommen wird. (nach extern setzen wir auch Sophos XG im HA ein)
Kleine Anmerkung: unsere VMWare Host haben entweder 2 x QuadPort 10G oder 2 x DualPort 40G Uplinks, aus dem Grund haben wir auch relativ viele Ports zur Verfügung
Und bzgl. Updates: du kannst auch "nicht Domänen" Geräte auf einen internen WSUS verweisen lassen, dann muss die Kiste auch nicht mehr ins Internet, das machen wir mit einigen Servern so, somit benötigen die dann kein Internetzugriff mehr.
Die Registriepfade dafür sind:
siehe auch: https://thomasknoefel.de/windows-update-server-wsus-manuell-in-registry- ...
wir haben das bei uns (allerdings VMWare) wie folgt gelöst, jeweils mind. 2 x 10G Links:
- dediziertes VLAN für das VM Management
- dediziertes VLAN für den Traffic aus vMotion
- dediziertes VLAN für den Traffic der FaultTolerance Protokolle
- VMs laufen über einen zweiten vSwitch (jeweils mind. 4 x 10G od. 2 x 40G)
- IPMI / iDRAC / ILO usw. laufen über dedizierte NIC auf extra dafür bereitgestellte Switche
Das vMotion und FT VLAN wird nicht geroutet, hat auch kein Gateway, DNS oder was auch immer, jeder Host hat immer 2 Interfaces und 2 IP Adressen in dem VLAN.
Das VMManagement Netz ist vom restlichen Netz über eine interene pfSense (2 St via CARP HA) getrennt, der Zugriff auf die VMs und das vCenter ist nur für freigeschaltete Server möglich (u.a. Veeam, Admin-Jumphosts usw.), ausgehend ist lediglich DNS und NTP freigeschaltet, die Geräte kommen von sich auch nicht nach draußen, auch ist die Authentifizierung "lokal" am vCenter und nicht gegen eine Domäne um hier bei einer Kompromittierung des ADs nicht in die Gefahr laufen, dass dann auch das gesamte Backend übernommen wird. (nach extern setzen wir auch Sophos XG im HA ein)
Kleine Anmerkung: unsere VMWare Host haben entweder 2 x QuadPort 10G oder 2 x DualPort 40G Uplinks, aus dem Grund haben wir auch relativ viele Ports zur Verfügung
Und bzgl. Updates: du kannst auch "nicht Domänen" Geräte auf einen internen WSUS verweisen lassen, dann muss die Kiste auch nicht mehr ins Internet, das machen wir mit einigen Servern so, somit benötigen die dann kein Internetzugriff mehr.
Die Registriepfade dafür sind:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]