Puoi consentire agli utenti di creare in modo sicuro le macchine virtuali sulle loro workstation

Question

Puoi consentire agli utenti di creare in modo sicuro le macchine virtuali sulle loro workstation

#1 da (1 voti)

3

Mi sono trasferito da un lavoro in cui gli sviluppatori sono stati incoraggiati a utilizzare tecnologie come la finestra mobile e il vagabondo per creare VM sulle loro workstation per test e sviluppo.

Nel mio nuovo lavoro, il responsabile IT insiste sul fatto che consentire a un utente di creare una VM comprometterà la sicurezza dell'intera azienda. Conosco molte aziende (come i burattini e l'opscode) che permettono a vagabondi e portuali all'interno della loro compagnia.

In che modo consentire agli utenti di creare un aumento del rischio della VM?
C'è un modo per consentire alle macchine virtuali di minimizzare il rischio? (Forse usa immagini approvate)

Aggiornamento

Principalmente focalizzato sul rischio di consentire la virtualizzazione completa sulle workstation (virtualbox, vagrant, hyper-v, kvm)

virtualization risk-analysis

posta spuder 17.04.2015 - 22:31

fonte

1 risposta

Leggi altre domande sui tag virtualization risk-analysis

Come sovrascrivere ebp sull'allineamento dello stack? Quali sono le differenze tra DIACAP e RMF?

score 1 · Answer 1

Tutto si riduce alla segmentazione della rete della VM o del contenitore dal sistema operativo host. Se si dispone di una macchina virtuale guest che contiene un sistema operativo vulnerabile o un contenitore che ospita un'applicazione non correttamente gestita (cioè patch), presupponendo che uno di questi due si connetta alla rete aziendale tramite una rete bridge o una rete condivisa, quindi si corre la possibilità di un attacco che potrebbe penetrare nella rete interna. Se vengono presi i passaggi corretti per segmentare la rete di VM o di container dalla rete host (solo host o reti NAT personalizzate), non dovrebbero esserci problemi con la creazione di proprie macchine virtuali da parte degli utenti. Questo presuppone che tu abbia un modo per forzare automaticamente queste impostazioni perché non mi fiderei di un processo o di un essere umano che si attenga alla corretta applicazione della rete.