Qual è la differenza tra virtualizzazione e sandboxing

1

La virtualizzazione è fondamentalmente "più semplice" sandboxing? Dove vengono intercettate le chiamate di sistema e vengono stabilite le regole per consentire o meno la chiamata di sistema. Credo che le chiamate di sistema siano tracciate per scoprire quale applicazione sta effettuando le chiamate tramite la traccia del processo.

Se la risposta è sì a tutto quanto sopra allora cosa vuol dire sandboxing "più semplice" qualcuno può darmi un esempio di come la virtualizzazione sia "più semplice" sandboxing?

Grazie

    
posta David J 16.08.2017 - 00:16
fonte

1 risposta

1

Il sandboxing è un concetto di alto livello che può essere implementato in diversi modi.

La virtualizzazione nella pratica è un tipo specifico di sandboxing - di solito emulando "il sistema", cioè la CPU e l'hardware correlato.

Quindi c'è una grande sovrapposizione tra sandboxing e virtualizzazione; così come la virtualizzazione e l'emulazione. Tuttavia sono diversi nell'intento e / o nella tecnica di progettazione.

Il sandboxing è l'effetto che desideri. Puoi ottenerlo in molti modi: costruendo attorno al tuo sistema (proteggendolo) o attorno al tuo ambiente di runtime (limitandolo). Ad ogni modo, è importante conoscere il problema nella sua interezza - e quale è un programma sconosciuto che si sta cercando di sandbox, è più semplice usare la virtualizzazione (come nelle VM) poiché ha il più ampio ambito di isolamento e il software è liberamente disponibile.

per esempio, per implementare un'analisi dinamica basata sul comportamento di JavaScript, i dispositivi di sicurezza hanno bisogno di un ambiente sandbox per eseguire il JS in arrivo e osservare "cosa cambia" (file system, registro, ecc.). O il fornitore di dispositivi di sicurezza può utilizzare una sandbox (probabilmente richiede meno risorse durante l'esecuzione, ma richiederebbe più risorse per lo sviluppo) o utilizzare un ambiente esistente come una VM smantellata dinamicamente (e deprovisioned) in combinazione con sandbox nel browser.

Alcuni (più?) dispositivi "anti-APT" che vantano questa capacità, scelgono quest'ultima perché è più facile da sviluppare e implementare . cioè, riduce i costi di R & D (iniziale e in corso) e il time to market, mentre allo stesso tempo espande la rete più ampia possibile per limitare l'impatto del malware evasivo e allo stesso tempo offre la massima capacità di rilevamento .

    
risposta data 16.08.2017 - 04:20
fonte

Leggi altre domande sui tag