Instalando o VirtualBox e restringindo NAT e adaptadores de rede em ponte para segurança corporativa

Question

Instalando o VirtualBox e restringindo NAT e adaptadores de rede em ponte para segurança corporativa

#1 resposta do (2 votos)

2

Eu trabalho como desenvolvedor em uma empresa de serviços financeiros pesados de segurança. Como um grupo, estamos descobrindo que nossa política de segurança de estações de trabalho do Windows 7 está nos impedindo de executar nossos trabalhos. Não temos direitos administrativos locais em nossas estações de trabalho e só podemos instalar / usar software de uma lista de distribuição do Programa Anunciado. Esta política de segurança não pode ser alterada e ficou claro que exceções estão sendo feitas para ninguém.

Eu estou tentando fazer um caso para permitir que os desenvolvedores usem o VirtualBox em VMs locais. Tenho certeza de que eles terão um problema em uma máquina virtual que não seja o Host Only ou o Internal meaning. Não conseguimos acessar nossos vários ambientes em nossa rede interna. O acesso externo à Internet não é necessário na VM. Eles vão afirmar que isso é inseguro porque o malware pode ser instalado em uma VM local que infecta a rede corporativa.

Desde que estou me preparando para negociação:

O que REALMENTE Quero

Atualmente temos um token de VPN que podemos usar o Cisco Connect em nosso computador doméstico totalmente inseguro para VPN na rede corporativa em uma sub-rede RESTRICTA. Se pudéssemos configurar uma conexão de rede em ponte de nossa VM local para esse adaptador de rede VPN e SOMENTE NESTE ADAPTADOR DE REDE VPN, sinto que essa pode ser uma solução adequada. Nossa VM local não poderia ser menos segura que um computador doméstico. A rede corporativa padrão, no entanto, gostaria que a opção fosse desabilitada ou indisponível para o VirtualBox no momento da instalação . Isso é possível e, em caso afirmativo, como?

Aqui está o que eu vou resolver para

Se eu puder configurar uma rede somente host no VirtualBox, será possível configurarmos o encaminhamento reverso de portas para que o sistema operacional convidado possa alcançar recursos específicos da rede corporativa interna com o host sendo um proxy? Isso é possível apenas no VirtualBox ou seria necessário um proxy adicional para ser configurado?

Além disso, o VirtualBox pode ser instalado com as redes NAT e Bridge desabilitadas para que somente os adaptadores de rede Host e Interno possam ser criados?

Eu aprecio qualquer insight sobre como isso pode ser alcançado.

networking virtualbox security

por maple_shaft 29.07.2014 / 18:21

1 resposta

Tags networking virtualbox security

Apache - protege um subdiretório, mas não a raiz Ferramenta web simples para visualizar o log

score 2 · Answer 1

Como alternativa: Por que você não configura um monte de máquinas de desenvolvedor em uma sub-rede separada de "desenvolvedor"? Estas poderiam ser máquinas virtuais, e os usuários poderiam usar a Área de Trabalho Remota ou o SSH (dependendo da plataforma) para alcançá-los e fazer seu trabalho. Eles podem ter acesso à Internet, e só podem falar com a rede corporativa o quanto for necessário para que sejam encaminhados para lá.

Acho que você acha isso razoavelmente barato (um único servidor pode ser suficiente) e você pode envolver sua equipe de rede e segurança para garantir que esse ambiente esteja em uma sandbox adequada.

A edição gratuita do VMware ESXi Hypervisor ou do Hyper-V no Windows Server provavelmente caberia adequadamente nesse caso de uso.

Como uma variante desse plano, se você realmente não quer envolver seu departamento de TI para fazer mudanças, não há nada que diga que você precisa envolvê-lo. Em vez de instalar o software de desenvolvedor para ser executado em um servidor fisicamente nas dependências e, como tal, sob a jurisdição da TI, você pode ter mais sorte ao usar uma solução Cloud VDI. Pesquisando no Google Cloud VDI, descobri que a Amazon lançou recentemente um serviço chamado Amazon Workspaces que depois de olhar para ele por uns 30 segundos parece pode ser o que você quer.

Quanto à interconexão dessas VMs do Cloud com sua rede corporativa, há algumas abordagens que você pode seguir. A solução mais limpa (infelizmente, exigindo a bênção da TI) seria configurar um link VPN IPsec usando o Virtual da Amazon Serviço de nuvem privada (VPC) . Eles poderiam, então, configurar um túnel para esses servidores e bloqueá-los apropriadamente. Se você realmente não quer envolver o departamento de TI, pode ver se pode instalar o software VPN existente. Você realmente não quer que ele redirecione seu gateway padrão em um cenário como esse, portanto, se seu cliente VPN fizer o roteamento do cliente padrão através da VPN, isso precisaria ser corrigido.

Se você encontrar um roadblock por estar "na nuvem" e, portanto, inaceitável do ponto de vista da segurança, também poderá colocar seu próprio servidor em um local de instalação, obter hardware dedicado e executar sua própria solução de VDI, mas isso parece ser muito menos flexível e envolve muito mais trabalho.