Каковы best practices по изоляции гипервизора (Hyper-V)?

Question

[Павел]

Добрый день. Хотелось бы узнать, есть ли какие-то best practices по изоляции гипервизора в корпоративной сети. В частности интересует вопрос размещения в отдельном домене AD? В инфраструктуре, которую я принял на текущем рабочем месте, сервера hyper-v размещены в под-домене основного, и особого смысла я в этом не вижу.

Варианта 3:
- оставить все как есть
- развалить поддомен и перетащить сервера в основной
- поднять другой домен в том же (или вообще в другом?) лесу для hyper-v.

Вариант 2 мне нравится больше. А как бы поступили (поступаете) вы? Поделитесь опытом пожалуйста.

Comments

[deleted-rss1alex]

Я Вам напишу. Опишите про домен. Легче выделить компьютер, который не в доменной сети подключен к другому. Терминов не могу дать так же, как и Вы.

Answer 1

[nApoBo3]

Сервер в домене, как минимум не менее безопасен чем сервер вне домена. Есть только две причины изоляции гипервизора, защита от компрометации доменного админа, разделение зон ответственности по администрированию. Имхо в первом случае, злоумышлиннику уже не нужен гипервизор. Т.е. это имеет смысл, только если вам надо жёстко отделить администратора домена от гипервизора. Мне сложно придумать сценарии в пределах одной организации когда
это реально необходимо.

Answer 2

[Антон]

в принципе без разницы, трудно предугадать причины побудившие к такой реализации, как вариант - это связано с GPO