Защитите свою виртуальную машину Windows как обычный сетевой компьютер, даже если это "только" виртуальная машина
Вы должны защитить свою виртуальную машину Windows таким же образом, как и компьютер с Windows, напрямую подключенный к вашей сети:
- Установите обновления безопасности.
- Установите антивирусный сканер.
- Запустите резервное копирование для всех нетривиальных данных.
- Отключите доступ root/admin или используйте строгую аутентификацию.
- Устанавливайте только те службы, которые вам действительно нужны, а остальные отключайте.
- Храните системные журналы и регулярно отслеживайте их на наличие важных сообщений.
Не забудьте установить лимиты / квоты для вашей виртуальной машины, чтобы ваша виртуальная машина не использовала весь жесткий диск / RAM / CPU / емкость сети / ...
Доступ к вашей сети
Тип доступа виртуальной машины Windows к сети зависит от визуализации вашей сети и требований к подключению виртуальной машины. Виртуальная машина будет песочницей, если вы настроите ее как песочницу (например, с использованием сети только на хосте). Если вы настроите его как просто другое устройство в вашей сети, то это будет не песочница, а просто другое устройство в вашей сети. Если внешний пользователь получает повышенные привилегии на ВМ, он может делать то же самое в сети, как если бы устройство было напрямую подключено к сети.
Если, например, ваша виртуальная машина Windows настроена как прокси-сервер в Интернете, а внутренний или внешний пользователь получает повышенные привилегии на этом сервере, это, безусловно, угроза безопасности, поскольку этот пользователь может просматривать и манипулировать интернет-трафиком всей вашей компании.
В целом, если существуют определенные и обоснованные риски того, что виртуальная машина Windows уязвима для атак, поместите виртуальную машину Windows в отдельный сегмент сети и используйте брандмауэры и другие инструменты сетевой безопасности, такие как обратный прокси-сервер, для предотвращения дальнейшего проникновения.
Доступ с вашей виртуальной машины к хосту виртуальной машины
Насколько я знаю, в реальном мире нет случаев, когда гость может получить доступ к файлам на хосте, кроме файлов, которые "обычно" доступны через сеть или через общие каталоги. Поскольку это одна из ваших (или "их") проблем, эта ссылка на документ VMware может оказаться полезной. Я цитирую:
Виртуальные машины - это контейнеры, в которых работают приложения и гостевые операционные системы. По своей конструкции все виртуальные машины VMware изолированы друг от друга. Такая изоляция позволяет нескольким виртуальным машинам работать безопасно и совместно использовать оборудование, а также обеспечивает как их доступ к оборудованию, так и их бесперебойную работу. Даже пользователь с привилегиями системного администратора в гостевой операционной системе виртуальной машины не может нарушить этот уровень изоляции для доступа к другой виртуальной машине без привилегий, явно предоставленных системным администратором ESXi.
Хотя в этой статье явно не говорится об этом, это (насколько я знаю) также верно для доступа гостя к самому хосту.
Что делать с "ними"? "Человеческий фактор"
Не забывайте о человеческом факторе в таких случаях, как ваш. Неважно, знают ли "они", о чем они говорят, важно серьезно отнестись к выражению их озабоченности (или вы рискуете, что их беспокойство попадет в неформальный кругооборот вашей организации). Заставьте своего эксперта по ВМ в одной комнате с "ними", поговорите о проблемах и оцените риски и степень их серьезности.
