Devo executar o TMG como um convidado do Hyper-V

Navegue suas respostas
1

Ok, aqui está uma pergunta interessante. Em duas partes:

  1. É aconselhável executar o TMG como um convidado hyper-v na produção? (Alguma coisa está me incomodando que não é uma boa idéia, mas é possível dar um acesso exclusivo de VM a um NIC e tecnicamente o "host" é apenas outro convidado com privilégios especiais).
  2. Se você executar o TMG como um convidado hyper-v, devo colocar o host na rede interna ou a DMZ é segura o suficiente? Minha preocupação aqui é obviamente que a máquina Host poderia ser considerada um elo fraco. A DMZ está por trás de um NAT e não estou dando acesso à máquina host. Eu só dou acesso interno às máquinas ao host. Isso é suficiente ou devo trazer o host Interno?

Ou, voltando ao ponto 1, devo desfazer completamente essa idéia e colocar o TMG em uma máquina física separada? (então eu menti, acho que é em 3 partes).

Para esclarecimentos Meu design é o seguinte (todos rodando na caixa física)

A máquina A - Host Hyper-V não tem acesso a nenhuma rede virtual do NICS host criada por meio do Hyper-V. Também executa (atualmente) o DMZ DC com uma confiança unidirecional para o domínio interno. E DNS / DHCP para interno. Conectado apenas à rede virtual DMZ.

Máquina B - Máquina Guest TMG Configuração de três pernas: External é conectado a uma NIC física atribuída a um IP acessível publicamente. Interno e DMZ estão conectados a redes virtuais. Regra de firewall estabelecida para permitir que a Máquina A manipule as comunicações do AD com o DC / DNS interno. Também NIC física para DMZ conectado ao AP sem fio.

Máquinas C- ?? Serviços de rede interna e clientes Eles estão conectados à rede virtual interna e recebem acesso caso a caso.

Tudo está funcionando corretamente, só quero ter certeza de que não estou criando um buraco na minha rede com essa configuração.

    
por Michael Brown 17.06.2011 / 21:29

2 respostas

3

  1. Parece que a Microsoft anunciou o "oficialmente" suporte do TMG no Hyper-V - link

  2. Como Tatas declarou. Apenas porque o TMG está no hypervisor, não há nenhum requisito técnico para que o hypervisor seja exposto. As atribuições de NIC virtual para físico no hypervisor são os únicos requisitos para colocar o TMG em uma configuração funcional. O hyperisor pode permanecer baseado em sua implementação "normal" para hipervisores por seu ambiente.

Desde que não haja explorações de hipervisor rampantes, a execução de produtos TMG e similares deve / deve ser tão "segura" quanto seria no hardware físico.

Com isso dito, pode haver algumas vantagens operacionais em ter aplicativos do tipo perímetro em hardware físico quando se trata de endereçar e / ou responder a situações fora de banda (por exemplo, picos de utilização de rede, problemas de hipervisor, etc.) .

    
por 17.06.2011 / 23:03
2

  1. Nós rodamos o TMG no VMWARE, então sim a virtualização é definitivamente uma opção viável. O Hyper-V não é diferente. Você poderia criar uma nova rede de VM especificamente para os convidados TMG. Isso ajudaria a isolar o nics / tráfego.

  2. Nossas TMGs são endereçadas publicamente (nós as usamos para reverter a troca de proxy). Eu não vejo uma razão esmagadora para colocá-lo na DMZ, mas seria útil saber exatamente como você está planejando usá-lo.

por 17.06.2011 / 21:39

Tags

Senha muito complexa para um script bash de FTP? Dropbear sshd - Desabilitando o login root