La virtualizzazione come livello di sicurezza per i computer desktop?

Dipende davvero.

Per esaminare i tuoi punti:

1. A seconda dei sistemi operativi host e guest, potrebbe essere necessario ulteriore sicurezza qui. Ad esempio, ho un paio di VM Windows da cui posso rimuovere qualsiasi programma oscuro sulla condivisione di samba senza troppa paura che l'host Linux venga infettato dalla presenza di questi file. Tuttavia, esiste la possibilità che un virus che sfrutta una vulnerabilità nel demone di Linux samba possa sfruttare bene il mio host (accetto solo quel rischio).

   Una soluzione a questo è piuttosto che usare le immagini del disco, scrivere i dischi della macchina virtuale direttamente sul disco, ad esempio in una partizione. Ciò significa che IO non è virtualizzato, che è più veloce, e significa che puoi letteralmente modificare il filesystem direttamente dall'host. Naturalmente, il tuo software VM deve supportare questo.

   Una terza alternativa è montare il filesystem. qemu, ad esempio, è in grado di montare immagini qcow e recuperare il contenuto in questo modo.

2. Sì, assolutamente. Molto necessario. Deve succedere. Dovresti fare tutto il possibile per difendere l'ospite dall'attacco perché potrebbe essere compromesso.

   Un altro punto da sottolineare è che hai una difesa aggiuntiva - ogni tanto, prendi nota istantanea pulita del sistema. Quindi, se si ottiene un'infezione, ripristinare il sistema. Certo, devi sapere che sei stato infettato e non eseguire il backup di un sistema infetto.

3. Se vuoi veramente ripristinare il sistema dopo ogni sessione di navigazione, avrai un sacco di lavoro extra da fare. È necessario disporre di sessioni in cui si corregge la linea di base e non si naviga e si esplorano le sessioni che si ripristinano dopo quella linea di base.

Non sei certo il primo a praticare questo tipo di installazione. La ricercatrice della sicurezza Joanna Rutkowska ha fatto un colloquio con Tom's Hardware descrivendo dettagliatamente la configurazione della sua macchina virtuale e il concetto di avere diversi livelli di macchine virtuali a cui si preoccupava, con crescenti configurazioni di sicurezza, e facendo diversi browsing su macchine diverse. È una lettura molto interessante; per me, è un po 'paranoico.

Ora, per sicurezza della macchina virtuale:

1. Una macchina virtuale compromessa ha qualsiasi accesso tu la dai alla rete locale . Questo potrebbe essere nulla (più sicuro) o potrebbe essere un accesso limitato ai servizi sull'host (SMB, SSH) o potrebbe essere tutto l'accesso. Il punto è che stai aumentando potenzialmente la superficie di attacco, specialmente se ignori il punto 2 nella tua domanda. Se stai usando NAT, sappi che entrambe le macchine virtuali condividono lo stesso IP con il mondo esterno, quindi potrebbe sembrare che il tuo host stia facendo cose che non dovrebbe.
2. Esiste una ricerca attiva sulle tecniche di pillola rossa, cioè sfuggire all'ipervisore. Non sono qualificato per dire esattamente quanto probabilmente questi sono in natura ora, ma posso dirti rilevando di essere in una macchina virtuale non è così difficile e come qualsiasi altra cosa, più la macchina virtuale diventa prevalente, più il codice della pillola rosso sarà accattivante.
3. Alcuni attacchi non sono impediti dalle macchine virtuali. Session hijacking, attacchi cross site scripting. Qualunque cosa che attacca il livello dell'applicazione del sito web o dell'applicazione che stai utilizzando piuttosto che tentare di attaccare il tuo host potrebbe essere qualcosa che trascuri.
4. L'host può ancora essere attaccato tramite meccanismi alternativi (difetti in qualsiasi servizio correlato alla rete o, in effetti, il contenuto che viene inserito in modo sicuro).

È sicuro? A questa domanda si può sempre rispondere solo nel contesto di ciò che si vuole proteggere. Personalmente, per me, ho appesantito il valore delle informazioni che devo proteggere rispetto allo sforzo di mantenere diverse o una o più macchine virtuali e ho deciso che il carico di manutenzione probabilmente non ne valeva la pena. Il mio host è ragionevolmente ben protetto e penso che aggiunga ulteriore complessità alla mia configurazione. Preferisco difendere un punto di entrata, non due o tre. Tuttavia, supponendo che tu sia esperto nel mantenere tutte le tue macchine virtuali e abbia bisogno di questo livello di sicurezza, direi che la separazione dall'host e la facilità con cui puoi eseguire il rollback delle macchine ne fanno un'aggiunta alle tue difese.

A seconda di quali risorse ti aspetti che la virtualizzazione difenda, ciò potrebbe facilmente generare un falso senso di sicurezza.

Separare semplicemente le "abitudini online" dalle "abitudini offline" tramite la virtualizzazione non sarà sufficiente a proteggere l'una dall'altra. Per chiarire meglio, ecco un esempio di uno scenario in cui la virtualizzazione che hai descritto potrebbe essere una difesa generalmente efficace, e una in cui non lo sarebbe.

Efficace: hai alcuni documenti finanziari personali sulla tua macchina "offline" che desideri mantenere riservati. La tua macchina "online" è infettata da un Trojan tramite l'exploit del browser. Presumendo che non ci sia una connessione dati (condivisioni di file, rete, ecc.) Tra i due, i dati sulla macchina "offline" sono probabilmente sicuri.

Inefficace: fai bancari, e-mail e acquisti tutti sulla macchina "online". Qualcuno ti invia un messaggio di phishing a cui diventi una vittima inconsapevole e il sistema è infetto da un Trojan. Tutte le credenziali dell'account online possono ora essere considerate compromesse.

Forse un approccio migliore sarebbe, invece di isolare le attività "online" dalle attività "offline", separare le attività "ad alto rischio" dalle attività "sensibili". Usa un sistema per la tua navigazione quotidiana e le attività di svago complessive, e usane un altro per cose come banche, acquisti e altre cose sensibili. Proteggi completamente entrambi i sistemi come al solito e isolali il più possibile l'uno dall'altro. Assicurati che tutte le attività sul sistema "sensibile" coinvolgano solo connessioni a reti note e affidabili.

Risposta semplice: in sostanza, la virtualizzazione creerà per te un livello di offuscamento che manterrà con successo contenuti malware standard contenuti nelle macchine virtuali guest. Questo è ciò che ti interessa come utente domestico. Installa l'antivirus e applica sempre le patch e sei a posto. Se qualcosa va storto, ripristina la VM in uno stato noto buono.

Per scenari di attacco più coinvolgenti, puoi fare molta agitazione sull'isolamento dei driver e sulla riduzione del TCB. Guarda la documentazione di Qubes o meglio i vari documenti dei progetti OpenTC o EMSCB e le pubblicazioni precedenti sulla sicurezza del sistema operativo e il controllo del flusso di informazioni per i dettagli su questo. Alla fine, non sarete ancora in grado di prevenire attacchi mirati a causa di (1) comodo trasferimento di dati tra VM e (2) bug rimanenti in hypervisor e hardware. Nessun problema è banale al suo interno. Ecco una fonte accessibile e non accademica che può darti un'idea dei problemi piuttosto complessi: link