Как мог виртуальная машина в Ubuntu быть более безопасным?
Несколько источников неопределенно предполагают, что запуск виртуальной машины Windows в Linux обеспечивает добавленную безопасность (онлайн).
Действительно ли VMs более безопасны, чем контейнеры?
Кроме защиты системы Linux от угроз, которые происходят в VM, там какие-либо другие преимущества дополнительной защиты для выполнения операционной системы (Windows или иначе) в VM в Ubuntu? Или действительно ли пользователь так же уязвим для сетевых угроз, как они иначе выполнили бы ту же самую ОС за пределами VM?
По существу VM только защищает Ubuntu и не добавляет дальнейшей защиты к опыту в VM?
3 ответа
Корректный, VM защищает машину, на которой он работает, но не сама виртуальная машина. Преимущество прибывает из наличия чистого клона Вашей виртуальной машины так, чтобы, если виртуальная машина становится поврежденной, можно было уничтожить ее, загрузиться, копия чистого ответа клона запускаются на всем протяжении.
Здесь существует несколько различных понятий.
Во-первых, источник, который сравнивает безопасность запущенных приложений в контейнере, по сравнению с выполнением их в VM.
Контейнеры могли быть описаны очень просто как легкая альтернатива VM, в котором приложения в контейнере изолируются от приложений вне контейнера, но они работают на том же ядре. Поэтому не возможно выполнить другую операционную систему в контейнере, таком как Windows в рамках Linux.
VM, с другой стороны, эмулирует машину, на которой Вы могли установить любую операционную систему, которую Вы любите (хотя существует некоторая технология VM, которая может ускорить определенные гостевые операционные системы).
Второй выпуск - работает ли Windows в госте, VM на машине Linux больше безопасен, чем Windows, на самой машине, и ответ, вероятно, не, по крайней мере, не в путях, которые рассчитывают. В то время как Вы, вероятно, в безопасности, что ничто в VM не может вредить хост-системе, существует все еще большой ущерб, который злонамеренный процесс мог нанести в VM, включая уничтожение файлов в VM, хождение в основанное на сети наступление, распространение спама и червей, и так далее. Выполнение операционной системы в VM не является заменой для обеспечения, это безопасно и защищает это от вредоносного кода и не очень эффективно.
Да, у Вас действительно есть дополнительная защита кроме "только" для защиты хоста. Идея состоит в том, что в VM, Вы устанавливаете/настраиваете только очень наименьшее количество суммы функций (независимо от того, что это может быть - быть установленные пакеты, конфигурация сети и т.д.), что Вам нужно для того конкретного VM.
Кроме того, Вы получаете немного более выразительное питание для правил брандмауэра (можно подстроить то, что приложения, работающие в VM, могут сделать, сетевой мудрый). Например, у Вас может быть VM специально для Вашего онлайна - банкинга; этому только установили бы Ваше программное обеспечение онлайна - банкинга, и единственная запись брандмауэра для IP VM будет одной к Вашему банку. Это не защищает Вашу хост-систему, но защищает Ваш онлайн - банкинг "опыт" от любого другого пакета, который Вы, возможно, установили на другом VMs или хосте - им приходится тяжелее, угоняя Вашу сессию, и так далее (в зависимости от того, как это все реализовано технически, очевидно, просто возьмите это в качестве примера).
Вы настроили бы этот VM способом, который лишит возможности соединяться с ним с внешней стороны, и невозможный соединиться из VM с чем-либо еще (за исключением Вашего банковского сервера). Это не имело бы общего доступа к аппаратным средствам, не будет соблюдать запросы USB-plug&play, и т.д. и т.д.
Это - тот же вид безопасности, которую Вы получаете контейнеризацией в целом, например, в микросервисных приложениях, куда все выполняет в его собственном (Докер) контейнер.