Proxmox VE auf VPS , Sicherheit
- Thread starter fw116
- Start date
Hi fw116,
also das kommt ggf. auch so ein wenig darauf an was darauf laufen soll und wie die technischen Möglichkeiten, beim Betriebsteam und/oder dem Hoster so sind.
Eine Sache sollte definitiv beachtet werden:
SSH-Login als root via Passwort, ist nichts was ins offene Internet gehört.
Die einfachste Möglichkeit wäre den Zugriff in der Firewall des Hosters auf entsprechende Source IP-Addressen zu beschränken.
Das ist das was ich da als absolute Baseline betrachten würde.
Man kann darüber hinaus natürlich noch weiteres SSH-Hardening + Zugriffe via VPNs einrichten.
(Wireguard wäre da meine persönliche Empfehlung)
Falls die Workload ins Internet exposed werden soll, würde es sich auch anbieten die Interfaces für den Zugriff auf den Hypervisor, von den Bridge-Interfaces der Workload zu trennen.
BG, Lucas
also das kommt ggf. auch so ein wenig darauf an was darauf laufen soll und wie die technischen Möglichkeiten, beim Betriebsteam und/oder dem Hoster so sind.
Eine Sache sollte definitiv beachtet werden:
SSH-Login als root via Passwort, ist nichts was ins offene Internet gehört.
Die einfachste Möglichkeit wäre den Zugriff in der Firewall des Hosters auf entsprechende Source IP-Addressen zu beschränken.
Das ist das was ich da als absolute Baseline betrachten würde.
Man kann darüber hinaus natürlich noch weiteres SSH-Hardening + Zugriffe via VPNs einrichten.
(Wireguard wäre da meine persönliche Empfehlung)
Falls die Workload ins Internet exposed werden soll, würde es sich auch anbieten die Interfaces für den Zugriff auf den Hypervisor, von den Bridge-Interfaces der Workload zu trennen.
BG, Lucas
Hi fw116,
die Anmerkung bezog sich ehr auf die Klassifizierung der Daten und deren Schutzbedarf.
Bei einem persönlichen Blog sind die Risikoakzeptanz und die Regulatorien ggf. anders gelagert,
als bei einem Firmen-/Vereinsfileservice.
Gerade bei Meinungen zum Thema Security ist das aus der Ferne schwer einzuschätzen,
daher sind da auch alle Angaben ohne Gewähr.
Mit der Workload würde ich ggf. auch schauen, dass du die Quelladdressen der Services einschränken kannst.
Wie gesagt man kann das beliebigt erweitern und IT-Security ist eigentlich Risikomanagement.
Dasist sollte ein wirtschaftlich getriebener Prozess sein, an dessen Ende immer ein aktzeptiertes Restriskio steht.
BG, Lucas
die Anmerkung bezog sich ehr auf die Klassifizierung der Daten und deren Schutzbedarf.
Bei einem persönlichen Blog sind die Risikoakzeptanz und die Regulatorien ggf. anders gelagert,
als bei einem Firmen-/Vereinsfileservice.
Gerade bei Meinungen zum Thema Security ist das aus der Ferne schwer einzuschätzen,
daher sind da auch alle Angaben ohne Gewähr.
Mit der Workload würde ich ggf. auch schauen, dass du die Quelladdressen der Services einschränken kannst.
Wie gesagt man kann das beliebigt erweitern und IT-Security ist eigentlich Risikomanagement.
Das
BG, Lucas