我想在Linux机器上的虚拟机中运行Windows。但是,同一物理网络上的其他人也担心,如果Windows操作系统被破坏,那么他们将可以有效访问网络,就像他们在Linux主机上拥有root一样。
他们认为它可能会受到威胁的原因是,它不会一直运行,因此在我启动后的一段时间内不会获得最新的安全更新。
有什么方法可以确保即使Windows虚拟机受到感染,它们对网络的访问权限也不会比本地主机上的普通非root用户更多。
保护Windows VM就像普通的联网计算机一样,即使它只是“仅” VM,也
应像保护直接连接到网络的Windows计算机一样,以相同的方式保护Windows VM:
不要忘记在虚拟机上设置限制/配额,以防止虚拟机消耗所有的硬盘,RAM / CPU /网络容量/ ...
对网络
的访问从Windows VM对网络的访问类型取决于您的网络可视化以及VM的连接要求。如果将VM设置为沙箱(例如,使用仅主机网络),则它将成为沙箱。如果将其设置为网络上的另一台设备,则它不是沙盒,而只是网络上的另一台设备。如果外部用户在VM上获得提升的特权,则它可以像在设备上直接连接到网络一样在网络上进行相同的操作。
例如,如果将Windows VM设置为Internet代理服务器,并且内部或外部用户在该服务器上获得了提升的特权,则绝对是安全威胁,因为该用户可以看到并操纵整个公司的Internet流量。
通常,如果存在Windows VM容易受到攻击的特定且有基础的风险,请将Windows VM放在单独的网段中,并使用防火墙和其他网络安全工具(例如反向代理)来防止进一步的渗透。
从您的VM到VM主机的访问
据我所知,在现实世界中,除了通过网络或共享目录“通常”可以访问的文件外,来宾可以访问主机上的文件。由于这是您(或他们)所关注的问题之一,因此对VMware文档的引用可能会很有用。
虚拟机是运行应用程序和来宾操作系统的容器。根据设计,所有VMware虚拟机都是相互隔离的。这种隔离使多个虚拟机可以在共享硬件的同时安全运行,并确保其访问硬件的能力和不间断的性能。在没有ESXi系统管理员明确授予的特权的情况下,即使是在虚拟机的来宾操作系统上具有系统管理员特权的用户也无法突破此隔离层来访问另一个虚拟机。
尽管本文没有明确说明,但是(据我所知)从来宾到主机本身的访问也是如此。
与“他们”怎么办?“人为因素”
在像您这样的情况下,请不要忘记人为因素。无论“他们”是否知道他们在说什么,重要的是要认真对待他们的担忧(否则您可能会担心他们的担忧正在进入您组织的非正式循环)。将您的VM专家与“他们”放在同一个房间,谈论问题并评估风险和这些风险的严重性。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句