一些消息来源模糊地暗示,在 Linux 内运行 Windows 虚拟机可以提供额外的(在线)安全性。
通过在 Linux 中以虚拟机形式运行 Windows 来对抗勒索软件
除了保护 Linux 系统免受虚拟机内部威胁之外,在 Ubuntu 虚拟机中运行操作系统(Windows 或其他)还有其他额外的安全优势吗?或者用户是否像在虚拟机之外运行相同的操作系统一样容易受到在线威胁?
本质上,VM 是否仅保护 Ubuntu,而没有为 VM 内部的体验提供进一步的保护?
答案1
正确,VM 保护的是它所运行的机器,而不是虚拟机本身。这样做的好处是拥有虚拟机的干净克隆,这样如果虚拟机损坏,您可以销毁它,加载干净克隆的副本并重新开始。
答案2
这里有几个不同的概念。
首先,比较在容器,而不是在虚拟机中运行它们。
容器可以简单地描述为虚拟机的轻量级替代方案,其中容器中的应用程序与容器外的应用程序隔离,但它们在同一个内核上运行。因此,不可能在容器中运行不同的操作系统,例如在 Linux 中运行 Windows。
另一方面,VM 模拟了一台机器,您可以在其上安装任何您喜欢的操作系统(尽管某些 VM 技术可以加速某些客户操作系统)。
第二个问题是,Linux 机器上的客户虚拟机中的 Windows 是否比机器本身上运行的 Windows 更安全,答案可能是否定的,至少在重要方面不是。虽然您可能很安全,虚拟机内部的任何东西都不会损害主机系统,但恶意进程仍然可能在虚拟机内部造成很多损害,包括破坏虚拟机中的文件、发起基于网络的攻击、传播垃圾邮件和蠕虫等等。在虚拟机中运行操作系统并不能替代确保其安全性并保护其免受恶意代码的侵害,而且效果并不好。
答案3
是的,除了“仅”保护主机之外,您确实拥有额外的保护。这个想法是,在虚拟机内部,您只安装/配置该特定虚拟机所需的最少功能(无论这些功能是什么 - 无论是已安装的软件包、网络配置等)。
此外,防火墙规则的表达能力也更强(您可以微调虚拟机内运行的应用程序在网络方面可以执行的操作)。例如,您可以拥有一个专门用于网上银行的虚拟机;这将只安装您的网上银行软件,并且虚拟机 IP 的唯一防火墙条目将是您的银行。这并不能保护您的主机系统,但可以保护您的网上银行“体验”免受您可能在其他虚拟机或主机上安装的任何其他软件包的影响 - 它们更难劫持您的会话,等等(显然,这取决于技术上如何实现这一切,仅以此为例)。
您将以一种方式配置此虚拟机,使其无法从外部连接到它,也无法从虚拟机连接到任何其他设备(您的银行服务器除外)。它无法访问硬件,不会接受 USB 即插即用请求等。
这与您通常通过容器化获得的安全性相同,例如在微服务应用程序中,所有内容都在其自己的(Docker)容器中运行。