web-dev-qa-db-ja.com

バックアップサーバーは、ネットワーク上の他のマシンとは別のサブネットまたはVLANに配置する必要がありますか?

バックアップサーバーは、バックアップサーバーとは別のVLAN /サブネット上にある必要がありますか?また、ルートは、バックアップサーバーのVLAN /サブネットの内部から、バックアップするクライアントおよびサブネットに一方向に進む必要がありますか?クライアントがバックアップサーバーにアクセスできないようにするには?

3
leeand00

バックアップの理由は、冗長性を追加し、ビジネス継続性と災害復旧を可能にするためです。バックアップサーバーを別のVLAN=に置き、その周りにアクセス制御を置くことも良い考えです。ネットワークとセキュリティアーキテクチャの観点から、すべてのサーバーは別のVLAN理想的にはファイアウォールを挟んだクライアントから、これをさらに一歩進めて、「クラウンジュエル」(つまり、潜在的に貴重なビジネスクリティカルなデータ)に追加の保護レイヤーを与えることは理にかなっています。

ネットワークのセグメンテーションには、マルウェアの発生が含まれている可能性や、攻撃者がネットワーク内をピボットできる範囲が制限されている可能性があります。この観点からだけでも、バックアップサーバーを含めることは賢明です。

必要なトラフィックのみを許可し、それ以上またはそれ以下では許可しないでください。これは、プロトコル、ルートなどにも当てはまります。たとえば、最小限の管理制御のみを許可する必要があります。たとえば、バックアップを管理するユーザーには、完全なドメイン権限ではなくバックアップ権限のみを付与する必要があります。

ただし、クライアントが最初にサーバーにバックアップしているという事実は、クライアントとサーバー間に何らかの通信があることを意味します。これは、CIFS、SMB、管理プロトコルなどを介して行われる可能性があります。したがって、正しく構成または保護されていても、依然としてリスクが残っています。

理想的には、これより先に進み、可能であればオフサイトのバックアップと、物理的な破壊から保護する適切な制御を備えた安全な場所にオフラインバックアップを保存する必要があります。

2
TheJulyPlot