Aufbau DMZ mit Hyper-V

[lopes 10]

Hi zusammen,

 

wir wollen unsere DMZ erweitern. Momentan werden dort zwei Dienste auf zwei Servern betrieben. User werden lokal an den Servern gepflegt.

 

Zukünftig sollen weitere Dienste in der DMZ angeboten werden. Plan --> Es soll in der DMZ ein Hyper-V Cluster inkl. AD eingerichtet werden.

 

Jetzt zu meinen Fragen :-)

 

1. Ich suche Best practice, Beispielkonfigurationen zum Thema DMZ mit AD und Hyper-V oder Literatur zu dem Thema

    - Dabei soll das Thema Sicherheit im Fokus stehen

 

2. Wie handhabt ihr den Zugriff der Server untereinander (in der DMZ)?

    - Jede VM in ein eigenes V-Lan und über FW nur Heartbeat Ldap dns usw. zulassen?

    - Jede VM einen eigenen User? Wie manged ihr da die Passwörter mit Kollegen? Ich wollte keine PW Liste in Excel pflegen...

    - Oder ist die oben beschriebene Konfiguration überzogen?

 

 

 

[nemonix 2]

Was hat es für einen Sinn die Hyper-V Hosts in die DMZ zu stellen? Es reicht ja wenn die VMs mit der DMZ (VLAN) verbunden sind.

[lopes 10]

Hi,

 

die Hosts sollen nicht mit dem internen Lan verbunden sein(auch nicht via Management Interface), daher der Begriff "in der DMZ".

Hier nochmal korrekt: Es soll für die DMZ ein Hyper-V Cluster inkl. AD eingerichtet werden.

 

Lässt du die VM´s der "DMZ" Domäne joinen oder sind die VM´s stand alone? Wie ist bei dir/euch die Vorgehensweise?

[Dunkelmann 96]

Moin,

 

das hängt von Deinen konkreten Anforderungen (und natürlich vom Budget) ab. Für ein umfangreiches Szenario finden sich i.d.R. keine Best Practices, solche Lösungen sind zu individuell.

 

Eine eigene Domäne mit Hyper-V Cluster und z.bsp. shared JBOD als gemeinsamen Speicher kann man machen. Es geht aber auch flacher mit nur einem separaten VLAN. Dazwischen gibt es noch diverse Schattierungen.

Je nachdem, welche Dienste in der DMZ laufen sollen, kann die Verbindung zur internen Domäne komplett uneterbunden werden, per Vertrauensstellung erfolgen. Bei einigen Applikation kann ggf. auch ADFS oder Radius/NPS verwendet werden. Da geht es aber schon recht weit in Details, die sich in einem Forum kaum seriös behandeln lassen.

 

PS: Für Kennwörter gibt es jede Menge Kennwortdatenbanken. Z.Bsp. KeePass

[lopes 10]

Hallo Dunkelmann,

 

danke für deine Antwort.

 

Würdest du die VM´s einer Domäne joinen lassen (getrennt vom internen AD)? Mein Gedanke hierbei ist die Verwaltbarkeit der User Accounts und GPO´s...

 

Lässt du jeden DMZ-Client gegen das WWW patchen oder nutzt du einen Wsus? Ich weiß jetzt werden viele sagen ist total überzogen... Aber ich will den Traffic der VM´s die die eigentlichen Dienste anbieten (in Richtung WWW), auf das Minimum reduzieren.

[Dunkelmann 96]

Wie die man Benutzer verwalten möchte, muss man sich selber überlegen.

Wie oft ist eine interaktive Anmeldung an den Servern notwendig? Ist es notwendig, dass sich verschiedene Admins mit individuellen Kennungen anmelden, müssen zwangsläufig lokale Administratoren verwendet werden, kann der Datensfer ggf. per VMBus erfolgen und/oder sonstwie vollständig automatisiert werden, usw. usf.

 

Zum Patchen kann man sich einen WSUS in die DMZ packen. Ob als eigenständiger WSUS, Downstream, oder nur zum Genehmigen und Statistik sammeln ist wieder geschmackssache. Man kann die DMZ natürlich auch an den internen WSUS binden, direkt von MS Updates beziehen oder sogar den SCCM samt DCM verwenden.

 

Man kann sich auch mehrere Zonen bauen. Eine für inbound anonymous (öffentliche Webservices), inbound authenticated (owa), eine für outbound (proxy, DNS Forwarder), eine als Infrastruktur (AD, WSUS) für die anderen beiden.

 

Am Ende des Tages muss das Konstrukt natürlich benutzbar und verwaltbar bleiben.