Proteja sua VM do Windows como um computador em rede normal, mesmo que seja "apenas" uma VM
Você deve proteger sua VM do Windows da mesma forma que protegeria um computador Windows conectado diretamente à sua rede:
- Instalar atualizações de segurança.
- Instale um verificador de vírus.
- Execute backups para todos os dados não triviais.
- Desativar acesso root / admin ou usar autenticação strong.
- Instale apenas os serviços de que você realmente precisa e desative o restante.
- Mantenha os registros do sistema e acompanhe-os regularmente em busca de mensagens importantes.
Não se esqueça de colocar limites / cota em sua VM para impedir que sua VM consuma toda a sua capacidade de disco rígido / RAM / CPU / rede /...
Acesso à sua rede
O tipo de acesso da VM do Windows à rede depende da sua visualização de rede e dos requisitos de conectividade da VM. Uma VM será uma sandbox se você configurá-la como uma sandbox (por exemplo, usando rede somente host ). Se você configurá-lo como apenas outro dispositivo em sua rede, ele não será uma sandbox, mas será apenas outro dispositivo em sua rede. Se um usuário externo obtiver privilégios elevados na VM, ele poderá fazer as mesmas coisas na rede como se o dispositivo estivesse conectado diretamente à rede.
Se, por exemplo, sua VM do Windows for configurada como um servidor proxy da Internet e um usuário interno ou externo obtiver privilégios elevados nesse servidor, ela é definitivamente uma ameaça à segurança, pois o tráfego da Internet de toda a empresa pode ser visto e manipulado por esse usuário.
Em geral, se houver riscos específicos e fundamentados , a VM do Windows está vulnerável a ataques, coloque a VM do Windows em um segmento de rede separado e use firewalls e outras ferramentas de segurança de rede, como < a href="http://en.wikipedia.org/wiki/Reverse_proxy"> proxy reverso para evitar maior penetração.
Acesso da sua VM ao host da VM
Há (até onde eu sei) nenhum caso do mundo real em que um convidado pode acessar arquivos no host além de arquivos que são "normalmente" acessíveis através da rede ou através de diretórios compartilhados. Como essa é uma das suas preocupações (ou "deles"), para um documento VMware pode ser útil. Eu cito:
Virtual machines are the containers in which applications and guest operating systems run. By design, all VMware virtual machines are isolated from one another. This isolation enables multiple virtual machines to run securely while sharing hardware and ensures both their ability to access hardware and their uninterrupted performance. Even a user with system administrator privileges on a virtual machine’s guest operating system cannot breach this layer of isolation to access another virtual machine without privileges explicitly granted by the ESXi system administrator.
Embora este artigo não diga explicitamente isso, isso é (até onde eu sei) também verdadeiro para o acesso do convidado ao host em si.
O que fazer com "eles"? O "fator humano"
Não se esqueça do fator humano em casos como o seu. Não importa se "eles" sabem do que estão falando, é importante levar a sério a expressão de suas preocupações (ou você corre o risco de que suas preocupações estejam entrando no circuito informal de sua organização). Obtenha seu especialista em VM na mesma sala com "eles" e fale sobre as preocupações e avalie os riscos e a gravidade desses riscos.