虚拟化作为桌面计算机的安全层？

Question

考虑到浏览网络所需的第三方插件的数量，我不得不虚拟化我的在线习惯，以获得额外的安全层。

当然，也有一些明显的缺点：

1)需要在主机和来宾操作系统之间有一个共享文件夹来来回移动文件。

2)需要用最新的补丁和主机操作系统来更新客户操作系统。

3)需要将在线活动和补丁分开，以便在每次浏览会话后能够恢复到快照。

这会减轻网上的威胁吗，还是只是一种虚假的安全感？

Answer 1

真的要看情况了。

通过你的观点：

1. 根据主机和来宾操作系统的不同，这里可能需要额外的安全性。例如，我有几个Windows VM，可以将任何不可靠的程序删除到samba共享上，而不必太担心linux主机会被这些文件的存在所感染。但是，利用linux守护进程中的漏洞的病毒很可能会很好地利用我的主机(我只是接受这种风险)。一种解决方案是将虚拟机磁盘直接写入磁盘，即分区，而不是使用磁盘映像。这意味着IO不是虚拟化的，这更快，这意味着您可以直接从主机修改文件系统。当然，您的VM软件必须支持这一点。第三种选择是挂载文件系统。例如，qemu能够以这种方式挂载qcow图像并检索内容。
2. 是的，完全正确。非常有必要。一定会发生。你应该尽你所能保护客人不受攻击，因为它很可能会受到损害。这里要指出的另一点是，你有一个额外的防御然后，如果你感染了，就把系统转回去。当然，你一定知道你已经被感染了，而不是备份一个被感染的系统。
3. 如果您真的想在每次浏览会话之后恢复系统，那么您将有许多额外的工作要做。您需要在其中修补基线而不进行浏览的会话，并浏览后回滚到该基线的会话。

你当然不是第一个练习这种装置的人。安全研究员Joanna做了一个访问Tom的硬件，详细介绍她的虚拟机设置和她关心的虚拟机级别不同的概念，增加了安全设置，并在不同的机器上进行了不同的浏览。这是一本很有趣的读物，对我来说，有点偏执。

现在，关于虚拟机安全性：

1. 受影响的虚拟机可以访问本地网络。这可能没有什么(更安全)，也可能是对主机上的服务的有限访问(SMB，SSH)，也可能是所有访问。重点是，你可能会增加攻击面，特别是当你忽略问题中的第2点时。如果您正在使用NAT，请注意您的虚拟机与外部世界共享相同的IP，因此您的主机似乎正在做不该做的事情。
2. 在红色药丸技术方面有着积极的研究，即逃避管理程序。我现在没有资格确切地说出这些病毒在野外的可能性有多大，但是我可以告诉你在虚拟机中检测并不是那么困难。，和其他任何东西一样，虚拟机变得越流行，红色药丸代码就越有吸引力。
3. 有些攻击不会被虚拟机阻止。会话劫持，跨站点脚本攻击。任何攻击您正在使用的网站或应用程序的应用层而不是试图攻击您的主机的东西都可能是您忽略的。
4. 主机仍然可以通过替代机制(在任何网络相关服务中的缺陷或您“安全地”拉到的内容)受到攻击。

安全吗？这个问题只有在你想要保护的范围内才能得到回答。就我个人而言，我衡量了我必须保护的信息的价值与维护几台或一台虚拟机(S)的努力之间的关系，并认为维护负担可能不值得。我的主机受到了相当好的保护，我认为它给我的设置增加了额外的复杂性。我更喜欢防守一个入口，而不是两三个。但是，假设您擅长维护所有虚拟机，并且需要这种级别的安全性，那么我想说，与主机的分离以及您可以轻松地回滚机器使它成为您的防御的一个补充。

Answer 2

取决于您期望虚拟化保护的资产，这很容易导致错误的安全感。

仅仅通过虚拟化将您的“在线习惯”与“脱机习惯”分开，只会有助于保护其中一个不受另一个习惯的影响。为了更好地澄清，下面是一个示例，说明您所描述的虚拟化可能是一种普遍有效的防御措施，而在这种情况下则不会。

有效:您有一些个人财务记录在您的“脱机”机器上，您想要保密。您的“联机”计算机通过浏览器攻击受到特洛伊木马的感染。假设两者之间没有数据连接(文件共享、网络等)，“脱机”计算机上的数据可能是安全的。

无效:你的银行业务、电子邮件和购物都是在“在线”机器上进行的。有人给你发了一条钓鱼信息，你会不知不觉地成为受害者，然后系统就会被木马感染。您的所有在线帐户凭据现在都可以被认为是被破坏的。

也许一种更好的办法是，将“在线”活动与“线下”活动分开，将“高风险”活动与“敏感”活动分开。使用一个系统进行日常浏览和总体休闲活动，并将另一个系统用于银行、购物和其他敏感事物。像往常一样完全保护这两个系统，并尽可能地将它们彼此隔离开来。确保“敏感”系统上的所有活动只涉及到已知的良好和可信网络的连接。

Answer 3

简单的回答:本质上，虚拟化将为您创建一个混淆层，成功地将标准恶意软件保存到客户VM中。这就是你作为家庭用户所关心的。安装防病毒，并始终应用补丁，你是好的。如果出了问题，请将VM重置到已知的良好状态。

对于更复杂的攻击场景，您可以在隔离驱动程序和减少TCB方面大惊小怪。查看Qubes文档，或者更好地查看来自OpenTC或EMSCB项目的各种文档，以及以前关于OS安全和信息流控制的出版物，以获得有关这方面的详细信息。最后，由于(1) VM之间方便的数据传输，以及(2)管理程序和硬件中遗留的bug，您仍然无法防止有针对性的攻击。这两个问题的核心都是微不足道的。这里有一个相当容易访问的、非学术性的来源，可以让您深入了解相当复杂的问题：http://invisiblethingslab.com/itl/Resources.html。