web-dev-qa-db-ja.com

VMはホストと同じくらい安全ですか?

質問

VM with "high security"with "low security"、VMはインストール先のマシンと同じくらい安全ですが、またはVM(たとえば、最新のサービス-パックとアップデート、ウイルス対策ソフトウェア、ファイアウォールなど)は、ホストの信頼性を補いますか?

背景

私の業務では、顧客のサイトにリモートアクセスする必要がある場合があります。リモートアクセスプロセスはお客様によって異なります。ダイヤルアップを使用するもの、VPNを使用するもの、Webポータルを使用するものもあります。

顧客はセキュリティ手順も異なります。かなりリラックスしたものもあれば、はるかに硬いものもあります。

私は最近、次のようなさまざまなことを探して、マシンを一掃するWebポータル経由でサイトに接続するように求められました。

  • 承認済みOSレベル
  • 承認されたファイアウォールがインストールされ、アクティブ
  • 承認済みのウイルス対策ソフトウェア、スパイウェアソフトウェアなど.
  • 他のいくつかの要因

ローカルマシンのOS(Windows 8)がツールでサポートされていないことを発見しました。 「Windows 7などの最新のオペレーティングシステム」を探します。私の推測では、このツールは少し古くなっています...また、企業のファイアウォールも検出されませんでした。

とにかく、お客様のサイトでは、自分のマシンでVMWareを使用してXP VMをインストールすることを推奨しました。これを実行したところ、Webポータルからのすべてのセキュリティ制限に合格しました。

可能な重複:

VM内でVMを実行すると、ウイルスなどを研究するためのより安全な方法になりますか?

そして

仮想マシンは本当に安全ですか?誤った安心感?

virtualizationremote-desktop
16
oliver-clare

ホストマシンは、ゲストVMで必要なものに影響を与え、変更することができます。ホストは、ゲストのすべてのメモリを読み書きし、命令ごとに停止および再起動できます。また、本質的に、ゲストに出入りするすべての単一データバイトを確認できます。ゲストのOS VM=が敵対的なホストから身を守るためにできることは何もありません。

したがって、ホストが脆弱で破壊されている場合(敵意のある攻撃者が制御する)、ゲストはトーストします。

特定の場合、「保護ソフトウェア」がWindows 8の存在を認識していない場合、実際には古すぎてウイルスに対して有効ではないことを確認してください。あなたの顧客もそれを知っているに違いない。回避策(VM Windows XPの場合))を推奨することで、会社のポリシーに公然と反抗する必要なしに、いかに作業を実行できるかを彼は示しています。これはyearsまで有効ですが、責任者が退職するか解雇されるのを待つことによってのみ削除できます。

25
Thomas Pornin

あなたの質問には根本的な単純化があるかもしれません。したがって、答えはシステムが弱いホストよりも強いとは限りません。

Peter G. Neumannは、2つの非常に安全なシステムを組み合わせると非常に安全な組み合わされたデバイスが作成されるという考えには論理的な誤りがあると指摘しました。反対に、2つのシステムが他方を考慮して設計されていなかった場合、2つを組み合わせることによって作成された攻撃面により、組み合わせたデバイスが非常に脆弱になる可能性があります。したがって、付加的セキュリティの概念は根本的に誤解されています。

VMとホストは互いに連携するように設計されているので、弱い/強い組み合わせの製品を支持する点です。リモートが心配な場合は、システム全体を攻撃する可能性があります。組み合わせは非常に強力になる可能性があります。ホストへのリモートアクセスがロックされている場合(実用的な物理アクセスがあるため)、強力なVMのみがリモートアクセスされます。組み合わせは、公開された脆弱なホスト自体よりも強力である必要があります。

つまり、答えは、一般的な強さと弱さのカテゴリではなく、存在しないいくつかの付加的なプロパティを公開する攻撃面に依存します。

6
zedman9991

理論的には、ホストはゲストに対して何でも実行できるため、安全ではありません。

実際には、ゲストOSに干渉するマルウェアは実際にはありません(共有ファイルシステムをウイルスに感染させる、またはピアであるかのように攻撃するのではない)ため、より安全です。

VPN接続でのこのHost-validatorのようなスキームは表面上は愚かですが、マルウェアに関連しない問題からも会社を保護します。 VPNクライアントシステム上のp2pファイル共有プログラム、またはライセンスのないソフトウェアによる監査の公開を検討してください。

VMWareでは回避できますが、承認済みのOSをホワイトリストに登録し、攻撃的なブラックリストを作成すると、企業の管理者の負担が軽減され、最終的にはVPNクライアントを持っている人が企業ネットワークに接続できるようになります。

5
mgjk

考慮すべき別の要素があります。より安全なOSから接続していて、接続しているプロトコルがホストによって傍受されない場合、安全なOSはサンドボックスとして機能してホストOSを保護できるため、Webサイトにアクセスできます。 WindowsではXPホストOSでIE6を使用する場合、同じシステムでIE10を使用するWindows 8ゲストで同じWebサイトにアクセスするよりも安全性が低い場合があります。ただし、ホストがホストに対してセキュリティで保護するためにゲストOSで実行できることは何もありません。これは、UEFIセキュアブートなどのシステムの背後にある理由です-実行しているものがわからない場合、自分自身を信頼することもできません。 。

3
Craig.Nicol

はい、VMのセキュリティはホストマシンのセキュリティに大きく依存します。VMのマルウェア対策は、VMのOSのみを保護します。攻撃者がVMのホストをハッキングすると、攻撃者はVMが使用する共有メモリやその他のリソースにアクセスできるようになり、VMを危険にさらす機会を与えてしまいます。

2
GdD