Algumas fontes sugerem vagamente que a execução de uma máquina virtual do Windows dentro do Linux fornece segurança adicional (on-line).
As VMs são mais seguras que os contêineres?
Luta ransomware executando o Windows no Linux como uma máquina virtual
Além de proteger o sistema Linux contra ameaças que ocorrem dentro da VM, existem outros benefícios adicionais de segurança para a execução de um sistema operacional (Windows ou outro) em uma VM no Ubuntu? Ou o usuário é tão vulnerável a ameaças on-line quanto, de outra forma, estaria executando o mesmo sistema operacional fora da VM?
Essencialmente, a VM protege apenas o Ubuntu e não adiciona mais proteção à experiência dentro da VM?
Correto, a VM protege a máquina em que está sendo executada, mas não a própria máquina virtual. O benefício vem de ter um clone limpo de sua máquina virtual para que, se a máquina virtual ficar corrompida, você possa destruí-la, carregar uma cópia do clone limpo e começar tudo de novo.
Existem alguns conceitos diferentes aqui.
Em primeiro lugar, a fonte que está comparando a segurança dos aplicativos em execução em um container , em vez de executá-los em uma VM.
Os contêineres podem ser descritos de maneira muito simples como uma alternativa leve a uma VM, na qual os aplicativos em um contêiner são isolados de aplicativos fora do contêiner, mas são executados no mesmo kernel. Portanto, não é possível executar um sistema operacional diferente no contêiner, como o Windows no Linux.
Uma VM, por outro lado, emula uma máquina na qual você pode instalar qualquer sistema operacional de sua preferência (embora haja alguma tecnologia de VM que possa acelerar determinados sistemas operacionais convidados).
A segunda questão é se o Windows em uma VM guest em uma máquina Linux é mais seguro do que o Windows executado em uma máquina, e a resposta provavelmente é não, pelo menos não nas maneiras que contam. Embora você provavelmente esteja seguro de que nada dentro da VM pode prejudicar o sistema host, ainda há muitos danos que um processo mal-intencionado poderia causar na VM, incluindo a destruição de arquivos na VM, o lançamento de ataques baseados em rede, a disseminação de spam e worms. e assim por diante. A execução de um sistema operacional em uma VM não é um substituto para garantir sua segurança e protegê-lo contra códigos mal-intencionados e não é muito eficaz.
Sim, você tem proteção adicional, exceto "apenas" para proteger o host. A idéia é que dentro da VM, você instale / configure apenas a menor quantidade de recursos (sejam eles pacotes instalados, configuração de rede, etc.) que você precise para aquela VM em particular.
Além disso, você obtém um poder um pouco mais expressivo para regras de firewall (você pode ajustar quais aplicativos executados dentro da VM podem fazer, em termos de rede). Por exemplo, você pode ter uma VM especificamente para seu banco on-line; Isso só teria seu software de banco on-line instalado e a única entrada de firewall para o IP da VM seria a única do seu banco. Isso não protege seu sistema host, mas protege sua "experiência" bancária on-line de qualquer outro pacote que você tenha instalado em outras VMs ou host - eles têm mais dificuldade em seqüestrar sua sessão, e assim por diante (dependendo de como tudo isso é implementado tecnicamente, obviamente, apenas tome isso como um exemplo).
Você configuraria essa VM de uma maneira que tornaria impossível conectar-se a ela de fora e impossível conectar-se a partir da VM a qualquer outra coisa (exceto para o servidor do seu banco). Ele não teria acesso geral ao hardware, não atenderia aos pedidos de plug-and-play USB, etc. etc.
Este é o mesmo tipo de segurança que você obtém com a conteinerização em geral, por exemplo, em aplicativos de microsserviço em que tudo está sendo executado em seu próprio contêiner (Docker).