将内部安全扩展到家庭办公环境中使用的虚拟机

Question

环境

我们公司有一个合理的(从正规员工的角度来看)安全政策，其中包括：

• 涵盖本地防病毒解决方案和互联网接入筛选的SO磷套件(https的MITM代理公司代理)
• Windows 10使用磁盘加密，
• 每个域策略自动注销(锁定)定时器，
• 安装软件的中央控制(安装和用户安装的软件的符合性检查)，
• 没有单点登录，很少有强制程序继续运行，
• 用户可以是本地管理员(devs等)，但不能覆盖域策略(比如预置时间后的自动锁定)，
• 外地工作人员的VPN访问。

还有一些法律措施，比如每个员工签订的保密协议.

用户可以对他们的机器进行完全的物理访问(从打开USB到打开盒子和摆弄东西，尽管通常没有人使用后者)。

问题

鉴于上述情况，是否有理由假设为员工提供一个通用虚拟化环境(VMWare、VirtualBox、KVM.)的虚拟设备这和给他们一台配置相同的笔记本电脑远程工作没有什么不同？VM可以在丢弃计算机上运行，也可以在员工的私有计算机上运行。我是不是遗漏了一些重要的东西，这将取消在任意硬件上运行的VM的资格？

我能想到的一件事是，VM主机的安全性很差，恶意软件程序(例如键盘记录器)可以在用户输入和VM之间放置，这对于更安全的物理计算机来说不是这样的情况(但必须承认，它可以与来自上述安全性较差的计算机的远程桌面一起工作)。我对这个可能的问题很感兴趣。

Answer 1

当您开始查看支持、帮助台、修补、升级、丢失的硬件、与安全设置或个人硬件上的应用程序不兼容等时，会有相当大的差异。

我建议，如果他们不提供这一点，你能做的就是问他们是否会考虑。如果他们这么做有意义的话，他们可能会实现一个对你有用的解决方案。