TMG 2010 + Exchange 2010 (Edge) --> mit HyperV ?

1. offizieller Beitrag

    Hallo Leute,


    wir sind dabei, unser Sicherheitskonzept umzustellen, und haben uns zwei Lösungen überlegt. Jetzt würden wir gerne dies bezüglich euren Erfahrungsschatz anzapfen und würden uns freuen, wenn ihr ein paar Tipps hättet.



    Idee #1:
    Cisco Firewall,
    dahinter ein Array mit zwei physikalischen Servern mit jeweils
    - Win2008 R2 Ent.,
    - TMG 2010,
    - Exchange 2010 mit der Rolle Edge Transport



    Idee #2 (mit HyperV):
    Cisco Firewall,
    dahinter zwei HyperV Server mit jeweils
    - zwei virtuellen Servern mit jeweils
    - Win2008 R2 Ent.,
    - TMG 2010,
    - Exchange 2010 mit der Rolle Edge Transport




    Was haltet ihr von diesen beiden Ideen und aus welchen Gründen würdet ihr uns zu welchem System raten?



    Wir freuen uns schon auf eure Antworten.


    Viele Grüße
    Alex

    • Offizieller Beitrag

    Also wenn Lizenzen kein Problem darstellen, würde ich eher zu Variante 2 greifen, da mir diese "Verbundelung" von Proxy/Firewall und Mail(relay) nicht wirklich gefällt und auch zuviele Abhängigkeiten untereinander bestehen, die man im Fehlerfall schlechter troubleshooten kann.


    Die TMG sollen dann als Reverseproxy fungieren (einbeinig?) und alles zusammen steht in einer DMZ, oder wie ist das Netzwerklayout gedacht?


    Bye
    Norbert

    NorbertFe :


    Ja, die TMG fungiert als Reverseproxy.


    In der DMZ soll nur der Edge-Transport-Server stehen.


    Kannst du etwas zur Sicherheit der 2. Variante bzw. von TMG auf einem virtuellen Server aussagen?


    Unsere Tendenz geht auch eher Richtung 2. Variante, jedoch sind wir uns in Sachen Sicherheit noch etwas unschlüssig.


    Grüße
    Alex

    • Offizieller Beitrag

    Moin,


    zur Sicherheit: Das kommt auf den Level Eurer Paranoidität an. :)


    Softwaretechnisch ist das sicher, aber es kommt hier natürlich noch die Hardware des Hyper-V mit ins Spiel, die zwar logisch nicht von außen erreichbar ist, aber physisch.


    Es gab schon Angriffe, bei denen es der Angreifer schaffte, die virtuelle Maschine zu verlassen.


    Ob und wie hoch ihr das Risiko einschätzt, müsst ihr aber selbst wissen.