Alcuni programmi della macchina virtuale "Sandbox" / proteggono il sistema operativo principale meglio di altri? La categoria della VM è importante?

3

Sto esaminando le VM da utilizzare e dal wiki link

Ho notato che ci sono 3 tipi principali di VM.

VIRTUALIZZAZIONE COMPLETA

In full virtualization, the virtual machine simulates enough hardware to allow an unmodified "guest" OS (one designed for the same instruction set) to be run in isolation. This approach was pioneered in 1966 with the IBM CP-40 and CP-67, predecessors of the VM family. Examples outside the mainframe field include Parallels Workstation, Parallels Desktop for Mac, VirtualBox, Virtual Iron, Oracle VM, Virtual PC, Virtual Server, Hyper-V, VMware Workstation, VMware Server (discontinued, formerly called GSX Server), VMware ESXi, QEMU, Adeos, Mac-on-Linux, Win4BSD, Win4Lin Pro, and Egenera vBlade technology.

VIRTUALIZZAZIONE HARDWARE

Hardware-assisted virtualization[edit] Main article: Hardware-assisted virtualization In hardware-assisted virtualization, the hardware provides architectural support that facilitates building a virtual machine monitor and allows guest OSes to be run in isolation.[18] Hardware-assisted virtualization was first introduced on the IBM System/370 in 1972, for use with VM/370, the first virtual machine operating system. In 2005 and 2006, Intel and AMD provided additional hardware to support virtualization. Sun Microsystems (now Oracle Corporation) added similar features in their UltraSPARC T-Series processors in 2005. Examples of virtualization platforms adapted to such hardware include KVM, VMware Workstation, VMware Fusion, Hyper-V, Windows Virtual PC, Xen, Parallels Desktop for Mac, Oracle VM Server for SPARC, VirtualBox and Parallels Workstation. In 2006, first-generation 32- and 64-bit x86 hardware support was found to rarely offer performance advantages over software virtualization.[19]

OS VIRTUALISATION

In operating-system-level virtualization, a physical server is virtualized at the operating system level, enabling multiple isolated and secure virtualized servers to run on a single physical server. The "guest" operating system environments share the same running instance of the operating system as the host system. Thus, the same operating system kernel is also used to implement the "guest" environments, and applications running in a given "guest" environment view it as a stand-alone system. The pioneer implementation was FreeBSD jails; other examples include Docker, Solaris Containers, OpenVZ, Linux-VServer, LXC, AIX Workload Partitions, Parallels Virtuozzo Containers, and iCore Virtual Accounts.

Mi chiedevo se ci sono dei vantaggi in termini di sicurezza nell'usare uno di questi tipi rispetto all'altro?

Anch'io sono curioso, se esiste un solo tipo di VM più sicuro degli altri, se ci sono macchine virtuali specifiche che dovremmo considerare, cioè, ci sono alcune specifiche che dovremmo cercare di essere le più protette, o sono tutti VMS più o meno lo stesso?

In questo link link

C'è stata una risposta sull'utilizzo di "Sandboxie" e c'era un diagramma incluso per menzionare cosa fa e come ti protegge, cosa che mi ha fatto incuriosire se questo è il modo in cui funzionano tutti o se ci sono determinati dettagli dovremmo assicurarci di esaminare prima di utilizzare una di queste macchine virtuali?

    
posta XaolingBao 11.01.2017 - 03:01
fonte

3 risposte

1

In assenza di bug in ognuno di essi, tutti dovrebbero offrire garanzie di sicurezza simili, anche se la "Virtualizzazione del sistema operativo" (jail, contenitori) dovrebbe fornire le migliori prestazioni in quanto rimuove la necessità di più sistemi operativi, è veloce iniziare e consente al singolo sistema operativo di condividere tutte le risorse della macchina in modo più efficace. (I moderni sistemi operativi utilizzano tutta la RAM non utilizzata come cache del filesystem. Quando si esegue un secondo sistema operativo in una VM, si deve assegnare una quantità specifica di RAM. Il sistema operativo virtuale utilizzerà tutta la RAM e non ha alcun modo abbandonare parte della RAM come "non utilizzata" nel sistema host per consentire al sistema host di utilizzarla come vuole.)

Tuttavia, la virtualizzazione del sistema operativo (jail, container) fornisce al codice untrusted accesso al kernel del SO host, che è una vasta area in cui vengono spesso scoperte le vulnerabilità di escalation dei privilegi. Le vulnerabilità di escalation dei privilegi sono più rare nei sistemi di virtualizzazione Full / Hardware (Virtualbox, ecc.).

    
risposta data 11.01.2017 - 03:51
fonte
0

Sandboxie di solito dovrebbe essere meno sicuro, poiché viene eseguito all'interno dello stesso kernel ed è limitato alla sola archiviazione separata per impostazioni e file. È uno strato di sicurezza.

Una macchina virtuale esegue il proprio kernel più ha uno spazio dedicato per i file e le impostazioni, sono molti più strati.

Inoltre, se il programma nascosto nell'e-mail tenta di raccogliere informazioni su di te per prepararsi a un attacco effettivo, nell'ambiente Sandbox impareranno la versione del tuo sistema operativo principale, mentre su VM vedranno solo VM OS.

Ci sono exploit zero-day in software e librerie usate che espongono anche macchine virtuali.

Per garantire la massima sicurezza, è necessario eseguire un sistema hypervisor puro come sistema operativo principale e quindi eseguire tutti gli altri sistemi come macchine virtuali.

Scopri Qubes OS è una delle sue distro Linux per la sicurezza e la privacy, realizzata intorno alla tecnologia VM ma con l'obiettivo della privacy. link

    
risposta data 20.07.2018 - 16:08
fonte
0

Esistono vulnerabilità pubblicate (e non pubblicate) che consentono al software di sfuggire agli ambienti guest in qualsiasi forma di virtualizzazione.

Ricorda, deve ancora esistere un sistema per consentire a un sistema operativo di richiedere risorse. Come con ESXi, questo può essere con l'hypervisor stesso, che gestisce le richieste da più sistemi operativi che funzionano contemporaneamente. Anche se è sicuramente molto più difficile farlo con la virtualizzazione supportata da istruzioni hardware, non si fermano i problemi di contenimento.

Lo svantaggio dell'uso di hypervisor bare metal è che dedica la macchina a quell'attività e un SO può essere acceduto in remoto. Ecco perché le soluzioni software come Workstation o Player di VMware sono popolari in quanto consentono a un utente di utilizzare un SO familiare come Windows / Linux mentre esegue un altro SO all'interno di un'altra finestra. Molte scelte moderne supportano le istruzioni di virtualizzazione dell'hardware che velocizzano il sistema operativo guest.

Un hypervisor bare metal dovrebbe garantire la massima sicurezza (e prestazioni) in quanto applica la scherma degli ospiti sia a livello di hardware che di sistema operativo. Le soluzioni software, mentre molte includono l'uso di istruzioni hardware, non sono in grado di applicare rigorosamente la scherma mentre si trova sulla parte superiore del sistema operativo host.

    
risposta data 11.01.2017 - 04:41
fonte

Leggi altre domande sui tag