Назад | Перейти на главную страницу

Как запретить виртуальному хосту подключаться к сети?

Мы обсуждаем возможность выдачи стандартизированных образов виртуальных машин нашим сотрудникам для использования при подключении к нашей корпоративной сети со своих персональных компьютеров.

В идеале они могли бы запустить эту виртуальную машину на любом доступном оборудовании. Поскольку мы не будем контролировать аппаратное обеспечение или ОС хоста, на хосте будет довольно высока вероятность заражения вредоносными программами, ограниченного программного обеспечения, плохого взаимодействия программного обеспечения и т. Д.

Какой был бы лучший / самый простой способ разрешить ВМ для подключения к нашей корпоративной сети, при этом предотвратить хост-компьютер от подключения?

Решение должно:

разрешить пользователю подключаться через беспроводную сеть или Ethernet в нашем офисе или через VPN из-за пределов офиса
предотвратить полное подключение главного компьютера, хотя наш офис предоставляет гостевой беспроводной доступ, который был бы приемлем для главного компьютера.
не нарушать работу корпоративных компьютеров (не персональных компьютеров и не виртуальных машин), находящихся под нашим контролем
не требует больших административных затрат, например, ведение белых списков MAC-адресов и т. д.

Подробности:

Виртуальные машины, скорее всего, будут на основе VMWare или VirtualBox.
Виртуальные машины будут работать под управлением Windows XP или Windows 7.
Хосты могут быть mac / linux / windows

Чтобы предотвратить доступ хостов к ресурсам, я думаю, вам, возможно, придется взглянуть на использование IPSec для изоляции домена или сервера. Хосты не будут в домене, поэтому IPSec не позволит им взаимодействовать с другими машинами домена, но виртуальные машины будут в домене, чтобы они могли взаимодействовать друг с другом.

Похоже, это действительно хорошая отправная точка. http://blogs.msdn.com/b/james_morey/archive/2005/04/21/410590.aspx

Если эти виртуальные машины будут присоединены к домену, возможно, вы сможете использовать сертификаты клиентов в своей VPN, чтобы только компьютеры с сертификатом клиента могли подключаться к VPN. Это предотвратит подключение неавторизованных компьютеров (хостов) и позволит сделать это авторизованным (виртуальные машины). Пока виртуальная машина находится в VPN, вы можете принудительно разрешить трафик только в сеть назначения, чтобы предотвратить трафик с разделением горизонта. Если у вас есть достаточно технически подкованный пользователь, он сможет обойти это, но то же самое касается большинства решений.

Я бы рассмотрел два подхода;

Используйте VMWare ThinApp - возьмите виртуальную машину и мини-гипервизор и сделайте из них один .exe, они буквально ничего не могут сделать, чтобы изменить способ работы виртуальной машины. У вас была бы просто виртуальная машина с VPN-клиентом внутри, которая дала бы им то, что они хотели, и ничего более. Это работает только в Windows, поэтому в качестве альтернативы вы можете просто запустить одну и ту же виртуальную машину в VMWare Workstation для Windows и Linux и Fusion для Mac.
Используйте что-то вроде Citrix или VMWare View для запуска этих машин в вашей сети, но пользователи могут использовать их только из веб-браузера, что серьезно ограничивает их возможности, чтобы запутать вас.

вы можете развернуть сертификаты машины как второй фактор для аутентификации VPN.

для предотвращения доступа к сети Ethernet и беспроводной сети со стороны несанкционированных устройств вы можете либо сделать всех VPN в защищенной зоне, либо развернуть 802.1x.