我们正在讨论向我们的员工发布标准化 VM 映像以供他们从个人计算机连接到我们的公司网络时使用的可能性。
理想情况下,他们可以在任何可用的硬件上运行此虚拟机。由于我们无法控制硬件或主机操作系统,因此主机上存在恶意软件感染、受限软件、不良软件交互等的可能性相当高。
最好的/最简单的方法是什么允许虚拟机连接到我们的公司网络,同时防止主机连接?
解决方案应该:
- 允许用户通过办公室内的无线或以太网进行连接,或通过办公室外的 VPN 进行连接
- 阻止主机完全连接,尽管我们的办公室提供了访客无线接入,这对于主机来说是可以接受的。
- 不破坏我们控制下的公司计算机(不是个人计算机,不是虚拟机)的功能
- 不需要进行大量管理,例如维护 MAC 地址白名单等。
细节:
- 虚拟机可能基于 VMWare 或 VirtualBox
- 虚拟机将运行 Windows XP 或 Windows 7
- 主机可以是 mac/linux/windows
答案1
为了防止主机访问资源,我认为您可能需要考虑使用 IPSec 进行域或服务器隔离。主机不会在域中,因此 IPSec 将阻止它们与其他域计算机通信,但虚拟机将位于域中,因此它们可以相互通信。
这看起来是一个很好的起点。
答案2
我会考虑两种方法;
- 使用 VMWare ThinApp - 使用 VM 和微型虚拟机管理程序并从中生成单个 .exe,实际上它们无法改变 VM 的工作方式。您只需要一个 VM,其中有一个 VPN 客户端,它为他们提供所需的一切,仅此而已。不过,这仅适用于 Windows,因此您也可以在适用于 Windows 和 Linux 的 VMWare Workstation 以及适用于 Mac 的 Fusion 中运行相同的 VM。
- 使用 Citrix 或 VMWare View 之类的程序在您的网络中运行这些机器,但用户只能通过 Web 浏览器使用它们,这严重限制了它们的选项。
答案3
如果这些虚拟机将加入域,也许您可以在 VPN 上使用客户端证书,这样只有拥有客户端证书的计算机才能连接到 VPN。这将阻止未经授权的计算机(主机)连接,同时允许授权计算机(虚拟机)连接。当虚拟机在 VPN 上时,您可以强制它只允许到目标网络的流量,以防止水平分割流量。如果您的用户足够精通技术,他们将能够绕过它,但大多数解决方案也是如此。
答案4
您可以部署机器证书作为 VPN 身份验证的第二个因素。
为了防止恶意设备访问以太网和无线,您可以让每个人都通过 VPN 进入安全区域,或者部署 802.1x。