仮想マシンをインターネットに接続するためのネットワークブリッジの作成は安全ではありませんか?
OpenSUSE 13.2を実行するHyper-Vを使用して仮想マシンを作成しました。仮想OSでインターネット接続を取得するために、外部仮想スイッチを作成しました。その後、Windows 8.1はWiFiアダプターとvEthernet(外部仮想スイッチ)の間にネットワークブリッジを自動的に作成します。
this Microsoft Webサイトの警告によると、これは悪い考えです:
警告
インターネットとネットワーク接続の間にブリッジを作成しないでください。ブリッジがネットワークとインターネットの間に無保護のリンクを作成し、インターネット上の誰でもネットワークにアクセスできるようになります。
これは確かに安全ではありませんか?その場合、仮想マシンが安全でありながらインターネットに接続できるようにするための代替方法はありますか?
これに対する簡単な答えは「はい、安全ではありません」です。
説明するには、まずブリッジとは何かを理解する必要があります。最も簡単な定義のブリッジは、2つ以上のネットワークを接続することです。一般人への橋渡しが「オールインワン」デバイスによって難読化されているので、この基本的な概念は混乱していると思います。
重要なことは、外部インターネット接続をVMの内部仮想仮想スイッチにマッピングすることです。これにより、接続が開いたまま脆弱になります。
もう少し現実的にしましょう。あなたは(あなたがセキュリティを意識している人と同じように)おそらくルート/ファイアウォールを持っています(喫茶店でWifiを使用している場合、彼らは何らかの保護を受けています)。これで、ラップトップへの接続が確立され、内部のVMネットワークにブリッジされます。
MSの発言の本質は真実ですが、リスクを検討する必要があると本当に気にかけている場合、攻撃者は実際に外部ISPルートにアクセスして、wifiブリッジ接続に侵入し、SUSE FWを通過しようとしています。 (あなたはそれを正しく実行していますか?)ほとんどの場合そうではないでしょう。もしあなたが電子メールを介してあなたを危険にさらすつもりなら、あなたが確立した接続でドライブバイです。
外部接続に直接接続している可能性はありますが、明らかに公開されており、問題への対処は今日この問題に対処する方法とかなり似ています。2つの間にファイアウォールを挿入します。気になっている場合は、ブリッジされた接続を仮想FWにプッシュして、内部ネットワークに接続することで、その接続を保護する仮想FW(無料または購入)をセットアップできます。
正直に言うと、情報セキュリティに関する限り、インターネットに接続されているデバイスは脆弱です。
マイクロソフトは正しいですそう言っています。内部でのみ通信する複数の内部ネットワークノードがあるシナリオを想像してみてください。外部インターネットと自由に通信するために、ネットワークの1つのノードで1つのポートのみを開くことにしました。これにより、内部ネットワーク全体が危険にさらされます。ハッカーが1つの「オープン」マシンにアクセスして内部ノードに感染し、特権を昇格させ、ネットワークを完全に制御できるとしたらどうでしょう。大きなリスク。つまり、2つのネットワーク間のあらゆる種類の安全でない通信は攻撃にさらされたままになります。あなたの場合、「オープン」ハイパーバイザーが「仮想ネットワーク」と通信できるようにする「外部ブリッジ」を構成したので、「仮想ネットワーク」が危険にさらされています。そのため、攻撃者はハイパーバイザーを介してトンネルするか、攻撃者が方法を見つけた場合にそれらのマシンを直接攻撃することができます。
残念ながら、"ブリッジ"は、バイザーから仮想マシンにIPトラフィックを送る唯一の方法です。これらのブリッジを保護することは、セキュリティポリシーの非常に重要な部分を形成します。 ポートセキュリティメカニズムを備えた強力なポリシーは、リスクの軽減に役立ちます。