我有一台 Windows Server 2008 R2,带有 3 个 Hyper-V VM
- IIS 服务器
- SQL 服务器 3 -
- 邮件服务器
我对网络/服务器配置还不熟悉。
我已经创建了一个虚拟网络,并且可以看到网络上的 3 个虚拟机以及主机。
我可以使用管理员帐户从每个虚拟机连接到主机。
然而,在虚拟机之间创建连接/帐户的最佳(安全)方法是什么?大概这不应该使用管理员帐户来完成,而应该使用权限较低的帐户来完成。
例如,能够从 IIS 服务器 VM 访问 SQL Server VM?
答案1
你似乎在这里问了两件事:
- 为虚拟机之间相互通信提供一个安全的介质(通道),以使真实物理网络中的其他机器无法窃听。
- 使用最低权限的用户帐户来验证虚拟机之间的连接,以减少基于特权的攻击面。
对于第 1 点,从 Hyper-V 的角度来看,您可以创建虚拟内部网络或专用网络,然后为该网络中的每个 VM 分配第二个网络适配器。 区别在于前者具有返回主机(父分区)的通信通道,而后者仅在该专用网络中的 VM 之间。
http://www.virtuatopia.com/index.php/Understanding_and_Configuring_Hyper-V_Virtual_Networks
对于第 2 点,如果您在 IIS Web 服务器中使用本地 SAM 用户帐户 - 似乎是这种情况,因为没有提到域控制器,所以我认为它们不属于任何 AD 域 - 必须在 SQL Server 服务器中创建具有相同密码的相同帐户,并为该帐户授予适当的权限以登录和访问特定数据库及其对象。
也许这些页面可以提供帮助
http://www.informit.com/guides/content.aspx?g=sqlserver&seqNum=24 http://www.informit.com/guides/content.aspx?g=sqlserver&seqNum=35 http://www.informit.com/guides/content.aspx?g=sqlserver&seqNum=220
答案2
我建议您在虚拟机内构建一个没有关联接口卡的专用网络,并让所有流量通过该内部网络流动。
答案3
是否涉及域名?如果是,我强烈建议您查看设置域和服务器隔离。这允许您指定哪些服务器和用户可以与任何特定服务器通信并加密所有流量。如果您没有域,这可能是构建域的原因。您也没有说这是生产还是测试