Quali sono gli scambi di sicurezza tra i diversi metodi di crittografia di un'immagine VM guest?

Naviga le tue risposte
0

Lo scenario è un PC domestico o di lavoro leggermente protetto, utilizzato principalmente per operazioni a bassa sensibilità. Per attività più sicure verrà utilizzata una macchina virtuale precostituita e restrittiva.

Sono principalmente preoccupato per il furto e / o la modifica dei dati tramite accesso non autorizzato / non presidiato al computer host mentre la VM è spenta.

Per mitigazione, voglio crittografare l'immagine della VM e sembra che ci siano tre scelte generali:

  1. Utilizza VeraCrypt o un altro pacchetto di crittografia immediato per crittografare la partizione o la cartella in cui verrà archiviato il VDI guest.
  2. Utilizza la crittografia incorporata di VirtualBox o VMWare per crittografare l'immagine ospite.
  3. Utilizza la crittografia dell'intero disco nel SO guest (ad esempio LUKS per guest Linux o BitLocker per Windows ospite)

Quali sono i fattori di sicurezza oi compromessi tra i tre? È generalmente più sicuro o più testato di altri?

Sembra che 1 e 2 possano equivalere alla stessa cosa. So che VeraCrypt è stato controllato e LUKS sembra abbastanza ben collaudato, ma non è sicuro della build di crittografia nel software VM.

nota: Questa risposta è per una domanda simile, ma la risposta non riguarda il commercio -offs tra le tre scelte

    
posta BrianHVB 18.12.2018 - 19:09
fonte

1 risposta

0

La tua mentalità è al contrario. In uno scenario di hypervisor in cui si desidera utilizzare sia l'host che gli ospiti come macchine utilizzabili, l'host deve essere il "computer" più sicuro deve .

Per provare a guidare questo punto verso casa:

  • se la tua VM 'più sicura' è un ospite e usi il ospitare per navigare in internet, quindi qualsiasi compromesso del proprio host di navigazione internet 'meno sicuro' fornisce l'accesso automatico a tutti e tutti gli ospiti. La crittografia dei dischi delle macchine virtuali protegge i dischi solo quando la VM è offline E ciò presuppone che l'utente malintenzionato non sappia come estrarre le chiavi dalla memoria (a cui avrebbero accesso poiché attaccheranno dall'host al guest)
  • se la tua macchina 'più sicura' è l'host e navighi su Internet dall'ospite, allora un utente malintenzionato dovrebbe attaccare sulla rete o attraverso l'hypervisor - entrambi sono molto più difficili dei diritti impliciti per manipolare l'hardware della VM.

E anche se questo non risponde direttamente alla tua domanda, se scegli di capovolgere la rotta che stai percorrendo, basta guidare la crittografia sul disco rigido dell'host e tutti gli altri sono automaticamente inclusi (supponendo che siano tutti sullo stesso disco)

    
risposta data 18.12.2018 - 19:42
fonte

Leggi altre domande sui tag

Basandosi sul server DNS interno (controller di dominio) su un server DMZ Cosa prendere in considerazione durante la convalida del caricamento del file