Организация Air Gap для NFS-диска, подключенного к виртуальной машине Proxmox

С ростом числа киберугроз защита данных становится важнейшим аспектом управления IT-инфраструктурой. Один из методов повышения безопасности данных — Air Gap (воздушный зазор), который включает физическую или логическую изоляцию данных от сетевых угроз.

В этой статье мы обсудим, как организовать air gap для NFS-диска, подключенного к виртуальной машине на платформе Proxmox. Мы рассмотрим настройку изолированной сети, подключение NFS-диска и лучшие практики для обеспечения безопасности данных.

Что такое Air gap?

Air gap — это метод защиты данных, при котором данные или системы физически изолируются от основной сети или других систем, чтобы предотвратить возможность несанкционированного доступа или атак. В контексте резервного копирования это означает, что данные изолированы от сетевых угроз и атак через отсутствие постоянного подключения к основной сети.

Шаг 1: Настройка изолированной сети для виртуальной машины Proxmox

Для реализации air gap нам нужно создать изолированную сеть, через которую будет подключаться NFS-диск к виртуальной машине.

Создание изолированной сети в Proxmox

1. Вход в веб-интерфейс Proxmox:

   Откройте веб-интерфейс управления Proxmox и войдите в систему с административными привилегиями.

2. Создание новой изолированной сети:

   Перейдите в раздел "Сеть" (Datacenter > Network) и создайте новую виртуальную сеть:

   • Нажмите "Добавить" (Add) и выберите "Linux Bridge" или "OVS Bridge", в зависимости от ваших требований.
   • Укажите имя для сети, например, isolated_network.
   • Не привязывайте эту сеть к физическим интерфейсам для обеспечения изоляции.

3. Сохраните изменения и привяжите эту сеть к вашей виртуальной машине.

Настройка виртуальной машины для подключения к изолированной сети

1. Добавление сетевого интерфейса:

   Перейдите к настройкам виртуальной машины в Proxmox:

   • В разделе "Аппаратное обеспечение" (Hardware) выберите "Добавить" (Add) и выберите "Сетевой интерфейс" (Network Device).
   • Выберите только что созданную изолированную сеть isolated_network.

2. Сохраните изменения и перезапустите виртуальную машину, чтобы применить новые сетевые настройки.

Шаг 2: Подключение NFS-диска к виртуальной машине

После настройки сети нужно подключить NFS-диск непосредственно к виртуальной машине через изолированную сеть.

Подключение NFS-диска в виртуальной машине

1. Доступ к виртуальной машине:

   Подключитесь к виртуальной машине через SSH или используйте консоль Proxmox.

2. Установка необходимых пакетов:

   Убедитесь, что на виртуальной машине установлены утилиты для работы с NFS:

   bash

   Копировать код

   sudo apt update sudo apt install -y nfs-common
   • nfs-common: Утилиты для работы с NFS, такие как mount.nfs, необходимые для подключения NFS-диска.

3. Создание точки монтирования:

   Создайте каталог для монтирования NFS-диска:

   bash

   Копировать код

   sudo mkdir -p /mnt/nfs

4. Подключение NFS-диска:

   Подключите NFS-диск к виртуальной машине:

   bash

   Копировать код

   sudo mount -t nfs <nfs_server_ip>:<nfs_export_path> /mnt/nfs
   • <nfs_server_ip>: IP-адрес вашего NFS-сервера.
   • <nfs_export_path>: Путь к экспортируемому каталогу на NFS-сервере.
   • /mnt/nfs: Путь к точке монтирования на виртуальной машине.

5. Проверка монтирования:

   Убедитесь, что NFS-диск смонтирован и доступен:

   bash

   Копировать код

   df -h /mnt/nfs

   Команда df -h покажет, что NFS-диск правильно подключен и доступен для использования.

Шаг 3: Управление доступом и air gap для NFS-диска

Для обеспечения air gap и защиты данных нужно управлять доступом к NFS-диску и контролировать его подключение.

Отключение NFS-диска после использования

1. Отключение диска:

   После завершения операций с диском выполните его отключение:

   bash

   Копировать код

   sudo umount /mnt/nfs
   • umount: Команда для отключения файловых систем. Убедитесь, что все процессы, использующие диск, завершены перед отключением.

2. Удаление точки монтирования (опционально):

   Если больше не планируете использовать точку монтирования, удалите её:

   bash

   Копировать код

   sudo rmdir /mnt/nfs

Повторное подключение NFS-диска перед следующими операциями

1. Создание точки монтирования (если удалили):

   Если точка монтирования была удалена, создайте её снова:

   bash

   Копировать код

   sudo mkdir -p /mnt/nfs

2. Подключение NFS-диска:

   Подключите диск снова:

   bash

   Копировать код

   sudo mount -t nfs <nfs_server_ip>:<nfs_export_path> /mnt/nfs

3. Проверка монтирования:

   Убедитесь, что диск снова доступен:

   bash

   Копировать код

   df -h /mnt/nfs

Лучшие практики для реализации air gap с NFS-диском

Физическая безопасность

Обеспечьте физическую безопасность NFS-сервера, на котором хранятся резервные копии. Системный сервер должен быть размещён в защищённом помещении с ограниченным доступом.

Управление доступом

Ограничьте доступ к NFS-диску и серверу только для тех виртуальных машин, которые действительно нуждаются в доступе. Используйте настройки брандмауэра и фильтры IP для ограничения доступа.

Шифрование данных

Рассмотрите возможность шифрования данных на NFS-диске для дополнительной защиты. Это поможет предотвратить компрометацию данных в случае физического доступа к серверу.

Регулярное тестирование

Периодически проверяйте процесс резервного копирования и восстановления данных. Убедитесь, что резервные копии корректно сохраняются и могут быть восстановлены при необходимости.

Документирование и обучение

Документируйте все процессы подключения и отключения NFS-диска, а также процедуры резервного копирования. Обучите сотрудников, чтобы они могли правильно выполнять все операции и поддерживать высокий уровень безопасности.

Заключение

Организация air gap для NFS-диска, подключенного к виртуальной машине в Proxmox, обеспечивает надежную защиту данных за счёт физической или логической изоляции.

Создание изолированной сети, правильное подключение и отключение NFS-диска, а также соблюдение лучших практик по безопасности помогут минимизировать риски и обеспечить высокий уровень защиты данных.