将VM暴露在Internet上的单个IP地址的安全风险

Question

我有一个小型的办公室网络，大约有10个工作站和一个物理域控制器。我想把它移到云端。为此，我在Azure上部署了一个Windows，我将把它作为一个额外的DC来推广。然后，我会关闭物理的那一个。

目前物理服务器还充当VPN服务器，云VM通过该VPN与L2TP和IPSec连接到本地办公网络。当我关闭物理服务器时，它也会杀死VPN。

我考虑向办公室公开云VM本身，而不是从它启动一个连接。在Azure上，我有能力将VM暴露给来自Internet上单个IP地址的所有流量。这样我就可以使用办公室的外部静态IP和工作站能够与云DC通信。

我的问题是，在这个过程中涉及到哪些实际的安全风险？即使我只将它暴露在一个IP地址中，它也很容易被利用吗？我应该避免使用这种策略并保持VPN方法吗？

Answer 1

博士:不安全。

实际上，向单个IP公开VM意味着您正在阻止来自其他IP地址的连接。这种区别很重要，因为IP地址是不安全的，而且可以被欺骗。因此，这并不阻止攻击者使用伪造的IP向您的VM发送数据。

这在某种程度上确实有帮助，因为拦截来自VM的响应(因为它们被发送到office的IP，而不是攻击者)是很困难/棘手的。这妨碍了攻击者，因为他必须对VM进行盲攻击或以某种方式拦截响应(例如，MITM)。然而，这并不能防止VM被黑客攻击。

当然，VPN在另一方面使用了适当的身份验证，因此更安全。

Answer 2

如果您锁定了云VM，使它只接受来自您办公室的连接，那么它就和您的办公室一样安全。实际上，互联网上没有人会尝试盲目的攻击，为了使其更加可行，他们至少需要能够MitM或拦截往来于你办公室的流量。除非你的威胁模式包括主要的互联网服务提供商和国家，否则我会说你绝对同意这种方法。

Answer 3

考虑到我的VM和office的外部IP地址不为潜在攻击者所公开，而且我也不是直接的目标，这有可能发生吗？我试着在更安全和更少复杂性之间找到平衡

不幸的是，这一点都没有区别，因为攻击者很可能不是针对您的公司，而是运行像nmap这样的扫描程序，该扫描器会在您的IP上绊倒，然后尝试使用已知的漏洞进行攻击。