Как виртуальная машина в Ubuntu может быть более безопасной?

Здесь есть пара различных концепций.

Во-первых, источник, который сравнивает безопасность запуска приложений в контейнере, и запускает их в виртуальной машине.

Контейнеры можно описать очень просто как легкую альтернативу виртуальной машине, в которой приложения в контейнере изолированы от приложений вне контейнера, но они работают на одном ядре. Таким образом, невозможно запустить другую операционную систему в контейнере, например Windows в Linux.

С другой стороны, виртуальная машина эмулирует машину, на которой вы можете установить любую подходящую вам операционную систему (хотя там это какая-то технология VM, которая может ускорить работу некоторых гостевых операционных систем).

Вторая проблема заключается в том, что Windows в гостевой виртуальной машине на машине Linux более безопасна, чем Windows, запущена на самой машине, и ответ вероятно, нет, по крайней мере, не так, как считают. Несмотря на то, что вы, вероятно, уверены, что ничто внутри виртуальной машины не может нанести вред хост-системе, по-прежнему существует большой урон, который вредоносный процесс может сделать внутри виртуальной машины, включая уничтожение файлов в виртуальной машине, запуск сетевых атак, распространение спама и червей, и так далее. Запуск операционной системы в виртуальной машине не является заменой для обеспечения ее безопасности и защиты от вредоносного кода и не очень эффективен.

Да, у вас есть дополнительная защита, кроме «только», чтобы защитить хост. Идея заключается в том, что внутри виртуальной машины вы устанавливаете / настраиваете только минимальное количество функций (независимо от того, какие из них могут быть - будь то установленные пакеты, сетевая конфигурация и т. Д.), Которые вам нужны для этой конкретной виртуальной машины.

Кроме того, вы получаете немного более выразительную силу для правил брандмауэра (вы можете точно настроить, какие приложения, выполняемые внутри виртуальной машины, могут делать по сети). Например, у вас может быть виртуальная машина специально для вашего онлайн-банкинга; это установило бы только ваше программное обеспечение онлайн-банкинга, и единственная запись в брандмауэре для IP-адреса виртуальной машины была бы единственной для вашего банка. Это не защищает вашу хост-систему, но защищает ваш опыт онлайн-банкинга от любого другого пакета, который вы, возможно, установили на других виртуальных машинах или на хосте, - им приходится усложнять захват вашей сессии и т. Д. (В зависимости от того, как это все реализован технически, очевидно, просто возьмите это в качестве примера).

Вы настроили эту виртуальную машину таким образом, чтобы было невозможно подключиться к ней извне и невозможно было подключиться от виртуальной машины к все остальное (кроме вашего банковского сервера). Он не имел бы общего доступа к аппаратным средствам, не соблюдал бы требования USB-plug & amp; play и т. Д. И т. Д.

Это тот же самый вид безопасности, который вы получаете путем контейнеризации в целом, например, в приложениях микросервиса, где все работает в своем собственном контейнере (Docker).

Да, у вас есть дополнительная защита, кроме «только», чтобы защитить хост. Идея заключается в том, что внутри виртуальной машины вы устанавливаете / настраиваете только минимальное количество функций (независимо от того, какие из них могут быть - будь то установленные пакеты, сетевая конфигурация и т. Д.), Которые вам нужны для этой конкретной виртуальной машины.

Кроме того, вы получаете немного более выразительную силу для правил брандмауэра (вы можете точно настроить, какие приложения, выполняемые внутри виртуальной машины, могут делать по сети). Например, у вас может быть виртуальная машина специально для вашего онлайн-банкинга; это установило бы только ваше программное обеспечение онлайн-банкинга, и единственная запись в брандмауэре для IP-адреса виртуальной машины была бы единственной для вашего банка. Это не защищает вашу хост-систему, но защищает ваш опыт онлайн-банкинга от любого другого пакета, который вы, возможно, установили на других виртуальных машинах или на хосте, - им приходится усложнять захват вашей сессии и т. Д. (В зависимости от того, как это все реализован технически, очевидно, просто возьмите это в качестве примера).

Вы настроили эту виртуальную машину таким образом, чтобы было невозможно подключиться к ней извне и невозможно было подключиться от виртуальной машины к все остальное (кроме вашего банковского сервера). Он не имел бы общего доступа к аппаратным средствам, не соблюдал бы требования USB-plug & amp; play и т. Д. И т. Д.

Это тот же самый вид безопасности, который вы получаете путем контейнеризации в целом, например, в приложениях микросервиса, где все работает в своем собственном контейнере (Docker).

Здесь есть пара различных концепций.

Во-первых, источник, который сравнивает безопасность запуска приложений в контейнере, и запускает их в виртуальной машине.

Контейнеры можно описать очень просто как легкую альтернативу виртуальной машине, в которой приложения в контейнере изолированы от приложений вне контейнера, но они работают на одном ядре. Таким образом, невозможно запустить другую операционную систему в контейнере, например Windows в Linux.

С другой стороны, виртуальная машина эмулирует машину, на которой вы можете установить любую подходящую вам операционную систему (хотя там это какая-то технология VM, которая может ускорить работу некоторых гостевых операционных систем).

Вторая проблема заключается в том, что Windows в гостевой виртуальной машине на машине Linux более безопасна, чем Windows, запущена на самой машине, и ответ вероятно, нет, по крайней мере, не так, как считают. Несмотря на то, что вы, вероятно, уверены, что ничто внутри виртуальной машины не может нанести вред хост-системе, по-прежнему существует большой урон, который вредоносный процесс может сделать внутри виртуальной машины, включая уничтожение файлов в виртуальной машине, запуск сетевых атак, распространение спама и червей, и так далее. Запуск операционной системы в виртуальной машине не является заменой для обеспечения ее безопасности и защиты от вредоносного кода и не очень эффективен.

Да, у вас есть дополнительная защита, кроме «только», чтобы защитить хост. Идея заключается в том, что внутри виртуальной машины вы устанавливаете / настраиваете только минимальное количество функций (независимо от того, какие из них могут быть - будь то установленные пакеты, сетевая конфигурация и т. Д.), Которые вам нужны для этой конкретной виртуальной машины.

Кроме того, вы получаете немного более выразительную силу для правил брандмауэра (вы можете точно настроить, какие приложения, выполняемые внутри виртуальной машины, могут делать по сети). Например, у вас может быть виртуальная машина специально для вашего онлайн-банкинга; это установило бы только ваше программное обеспечение онлайн-банкинга, и единственная запись в брандмауэре для IP-адреса виртуальной машины была бы единственной для вашего банка. Это не защищает вашу хост-систему, но защищает ваш опыт онлайн-банкинга от любого другого пакета, который вы, возможно, установили на других виртуальных машинах или на хосте, - им приходится усложнять захват вашей сессии и т. Д. (В зависимости от того, как это все реализован технически, очевидно, просто возьмите это в качестве примера).

Вы настроили эту виртуальную машину таким образом, чтобы было невозможно подключиться к ней извне и невозможно было подключиться от виртуальной машины к все остальное (кроме вашего банковского сервера). Он не имел бы общего доступа к аппаратным средствам, не соблюдал бы требования USB-plug & amp; play и т. Д. И т. Д.

Это тот же самый вид безопасности, который вы получаете путем контейнеризации в целом, например, в приложениях микросервиса, где все работает в своем собственном контейнере (Docker).

Здесь есть пара различных концепций.

Во-первых, источник, который сравнивает безопасность запуска приложений в контейнере, и запускает их в виртуальной машине.

Контейнеры можно описать очень просто как легкую альтернативу виртуальной машине, в которой приложения в контейнере изолированы от приложений вне контейнера, но они работают на одном ядре. Таким образом, невозможно запустить другую операционную систему в контейнере, например Windows в Linux.

С другой стороны, виртуальная машина эмулирует машину, на которой вы можете установить любую подходящую вам операционную систему (хотя там это какая-то технология VM, которая может ускорить работу некоторых гостевых операционных систем).

Вторая проблема заключается в том, что Windows в гостевой виртуальной машине на машине Linux более безопасна, чем Windows, запущена на самой машине, и ответ вероятно, нет, по крайней мере, не так, как считают. Несмотря на то, что вы, вероятно, уверены, что ничто внутри виртуальной машины не может нанести вред хост-системе, по-прежнему существует большой урон, который вредоносный процесс может сделать внутри виртуальной машины, включая уничтожение файлов в виртуальной машине, запуск сетевых атак, распространение спама и червей, и так далее. Запуск операционной системы в виртуальной машине не является заменой для обеспечения ее безопасности и защиты от вредоносного кода и не очень эффективен.