web-dev-qa-db-ja.com

VM内のフルディスク暗号化、それはどのくらい安全ですか?

基本的に、ホームコンピューターのVMをさまざまな用途で保護する方法に関する簡単なクエリ(ネイティブ環境で十分な方法で仕事関連のデータを保護するなど)。

私は絶対的な一流のセキュリティを探しているのではありません。そうでなければ、私はこれを家庭用コンピュータのために探しているのではないでしょう。したがって、仕事のシナリオでは、VM内のVPNを使用してオフィスネットワークに接続します。 VM内のデータがホストOSから適切に分離されていることを確認したいだけなので、データへのアクセスは通常よりもはるかに困難です。

VM内のゲストOSでフルディスク暗号化を有効にするだけで、この目的を達成できますか? TrueCryptコンテナーにVMイメージをラップする必要があるかもしれませんか?言ったように、私は超一流のセキュリティを探しているのではなく、データを不必要に公開しない十分なソリューションを探しています。現在のところ、ホストOS自体は暗号化されていませんが、変更される可能性があります。十分な時間、リソース、意志力があれば、誰でもそのデータにアクセスでき、アクセスできることを期待しています。私は、ほとんどの試みを阻止または防止するための十分な障壁があるように、またはアクセスを取得するためのあらゆる試みを大幅に遅らせるためにそれを作りたいと思っています。

私のマシンにVMがあるという事実は、偽りである必要はありません。なぜなら、私は必ずしももっともらしい否認性を探しているわけではないからです。私はそんなに偏執的ではありません!

virtualizationdisk-encryption
9
bluefinger

VMを保護するには、3つの選択肢があります。それらを適切に使用することを条件に、セキュリティの点でそれらのそれぞれはおそらく他のものと同じです。

  1. VM内のディスク全体の暗号化。
    • VMマシンの状態を保存しないでください。常に完全にシャットダウンしてください。
    • VMの実行中は、ホストシステムのスリープ、サスペンド、またはハイバネート機能を使用しないでください。
  2. VMファイルをTrueCryptコンテナーにラップします。
    • 必要なときにのみコンテナを開き、完了したらコンテナを閉じてください。
    • コンテナが開いている間は、ホストシステムのスリープ、サスペンド、またはハイバネート機能を使用しないでください。
  3. ホストシステムのディスク全体の暗号化。
    • ホストシステムのスリープまたはサスペンド機能を使用しないでください。常に休止またはシャットダウンします。

これらはそれぞれ独立して、または他のいずれかまたはすべてと組み合わせて使用​​できます。ただし、暗号化の複数のレイヤーがパフォーマンスに大きな影響を与え始める可能性があることに注意してください。

個人的には、私はオプション3から始めます。そのルートを使いたくない場合、またはセキュリティの別のレイヤーを追加したい場合(例:VMよりもマルチユーザーホストシステムでホストを実行する場合)、次にオプション2を選択します。

13
Iszi