2

Я хотел бы запустить Windows на виртуальной машине на моем компьютере с Linux. Тем не менее, есть некоторые опасения от других в той же физической сети, что если скомпрометирован Windows-блок, они получат доступ к сети, как если бы у них был root на хосте linux.

Причина, по которой они думают, что это может быть скомпрометировано, заключается в том, что он не всегда будет работать и, следовательно, не будет иметь последних обновлений безопасности в течение некоторого периода после его запуска.

Есть ли какой-нибудь способ гарантировать, что даже если виртуальная машина Windows скомпрометирована, у них не будет больше доступа к сети, чем у обычного пользователя без полномочий root на локальном хосте?

2 ответа2

4

Защитите свою виртуальную машину Windows как обычный сетевой компьютер, даже если это "только" виртуальная машина
Вы должны защитить свою виртуальную машину Windows таким же образом, как и компьютер с Windows, напрямую подключенный к вашей сети:

  • Установите обновления безопасности.
  • Установите антивирусный сканер.
  • Запустите резервное копирование для всех нетривиальных данных.
  • Отключите доступ root/admin или используйте строгую аутентификацию.
  • Устанавливайте только те службы, которые вам действительно нужны, а остальные отключайте.
  • Храните системные журналы и регулярно отслеживайте их на наличие важных сообщений.

Не забудьте установить лимиты / квоты для вашей виртуальной машины, чтобы ваша виртуальная машина не использовала весь жесткий диск / RAM / CPU / емкость сети / ...

Доступ к вашей сети
Тип доступа виртуальной машины Windows к сети зависит от визуализации вашей сети и требований к подключению виртуальной машины. Виртуальная машина будет песочницей, если вы настроите ее как песочницу (например, с использованием сети только на хосте). Если вы настроите его как просто другое устройство в вашей сети, то это будет не песочница, а просто другое устройство в вашей сети. Если внешний пользователь получает повышенные привилегии на ВМ, он может делать то же самое в сети, как если бы устройство было напрямую подключено к сети.

Если, например, ваша виртуальная машина Windows настроена как прокси-сервер в Интернете, а внутренний или внешний пользователь получает повышенные привилегии на этом сервере, это, безусловно, угроза безопасности, поскольку этот пользователь может просматривать и манипулировать интернет-трафиком всей вашей компании.

В целом, если существуют определенные и обоснованные риски того, что виртуальная машина Windows уязвима для атак, поместите виртуальную машину Windows в отдельный сегмент сети и используйте брандмауэры и другие инструменты сетевой безопасности, такие как обратный прокси-сервер, для предотвращения дальнейшего проникновения.

Доступ с вашей виртуальной машины к хосту виртуальной машины
Насколько я знаю, в реальном мире нет случаев, когда гость может получить доступ к файлам на хосте, кроме файлов, которые "обычно" доступны через сеть или через общие каталоги. Поскольку это одна из ваших (или "их") проблем, эта ссылка на документ VMware может оказаться полезной. Я цитирую:

Виртуальные машины - это контейнеры, в которых работают приложения и гостевые операционные системы. По своей конструкции все виртуальные машины VMware изолированы друг от друга. Такая изоляция позволяет нескольким виртуальным машинам работать безопасно и совместно использовать оборудование, а также обеспечивает как их доступ к оборудованию, так и их бесперебойную работу. Даже пользователь с привилегиями системного администратора в гостевой операционной системе виртуальной машины не может нарушить этот уровень изоляции для доступа к другой виртуальной машине без привилегий, явно предоставленных системным администратором ESXi.

Хотя в этой статье явно не говорится об этом, это (насколько я знаю) также верно для доступа гостя к самому хосту.

Что делать с "ними"? "Человеческий фактор"
Не забывайте о человеческом факторе в таких случаях, как ваш. Неважно, знают ли "они", о чем они говорят, важно серьезно отнестись к выражению их озабоченности (или вы рискуете, что их беспокойство попадет в неформальный кругооборот вашей организации). Заставьте своего эксперта по ВМ в одной комнате с "ними", поговорите о проблемах и оцените риски и степень их серьезности.

2

"Они" не знают, о чем говорят.

Локальный администратор на машине не имеет больше или меньше доступа к другим машинам в сети, чем пользователь без прав администратора. Пользователям и / или учетным записям компьютеров должен быть предоставлен доступ к этим другим машинам; если это не было сделано, то они в безопасности.

Если вы / они действительно обеспокоены этим, установите межсетевой экран между вашей виртуальной машиной и локальной сетью.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .