Мне придется развернуть виртуальные машины на демонстрационных ноутбуках, которые будут использовать проигрыватель Vmware, но у меня есть некоторые проблемы с безопасностью, так как некоторые данные, хранящиеся на виртуальных машинах, немного чувствительны.
Есть ли способ предотвратить копирование этих виртуальных машин? Зашифрованы ли виртуальные жесткие диски, а если нет, есть ли способ их зашифровать? Короче говоря, есть ли способ заблокировать все, чтобы никто не мог копировать и использовать эти виртуальные машины на другом компьютере?
РЕДАКТИРОВАТЬ :
Truecrypt для шифрования виртуальной машины может быть решением, но если пароль, используемый truecrypt, просочился, он становится бесполезным. Связывание виртуальной машины с компьютером, чтобы она могла работать только на определенном оборудовании, должно помочь, но я не нашел решения, которое позволило бы мне это сделать ...
Мне не известно о решении вашего вопроса для VMWare, сами виртуальные диски не зашифрованы, но, очевидно, есть гостевые системы, которые предотвратят несанкционированный доступ, но если вы скопируете диск, он все равно будет иметь то же содержимое . Я предполагаю, что если вы используете Player / WS / Server, вы можете разместить виртуальные диски внутри чего-то вроде bitlocker и применить привилегии доступа с авторскими правами, но это будет зависеть от типа ОС вашего хоста.
Три предложения и комментарий ..
S1 - перенастройте демонстрацию, чтобы минимизировать (или исключить) доступные защищенные данные. ЭТО ЛУЧШИЙ ПОДХОД.
S2 - Избегайте проблемы, предоставляя демонстрационным ноутбукам широкополосную мобильную связь, чтобы они могли подключаться без подключения к сети клиентов. На этом этапе существует множество очень безопасных методов подключения (VPN, сервер терминалов, GotoMyPC и т. Д.). Это, вероятно, более рентабельно, чем создание безопасных и неудобных ноутбуков, с которыми вам придется часто управлять и с которыми приходится иметь дело.
S3 - Если ни один из этих способов не работает для вашей организации, вы можете использовать TrueCrypt с YubiKey, внутри виртуальной машины или нет. Затем, если пароль просочился, данные по-прежнему в безопасности.
Комментарий: Как только вы дадите кому-то доступ к своим данным, все будет в порядке. Они могут делать снимки экрана, печатать, делать снимки на свой мобильный телефон, делать заметки, запоминать ключевые элементы и т. Д. По моему опыту, все более обременительные и неудобные методы устранения возможных утечек в системе быстро уменьшаются. клиент. Стоимость растет, эффективность падает, а неудобства выходят из-под контроля. ИМХО, лучший подход - устранить достаточно распространенные утечки в ядре, ограничить доступ до тех пор, пока не будет установлено доверие, и принять постоянный риск того, что люди, которым вы доверяете, могут быть ненадежными.
Я не знаю способа защитить изображения способом, выходящим за рамки того, что уже встроено в Windows (при условии, что это то, что находится в виртуальной машине, которую вы используете).
Мой вопрос к вам касается развертывания; если это демонстрационные ноутбуки, что вы ставите на них чувствительного? Я имею в виду, от каких сценариев вы конкретно пытаетесь защититься? Если бы вы не использовали виртуальные машины, у них все равно могли быть украдены данные. Вам нужно будет использовать шифрование Windows (или Linux) в файловой системе, чтобы воры не могли получить доступ к данным, и это снова то, что вы можете включить в гостевой ОС.
Если вы используете демонстрационное программное обеспечение, использующее конфиденциальные данные, возможно, вы захотите пересмотреть это. С ноутбуками у вас будет ровно столько защиты, сколько вы доверяете своим пользователям, поскольку все шифрование и меры в мире не помешают авторизованному пользователю обмануть вас или вашу компанию. С другой стороны, чрезмерные ограничения или обременительные методы работы вызовут у пользователей много недоброжелательства к вашей компании и вашему отделу.
Также имейте в виду, что добавление уровня шифрования может увеличить нагрузку на записную книжку; вы будете запускать виртуализированную систему (которая на несколько процентов медленнее) на уровне шифрования (что увеличивает накладные расходы и, таким образом, немного замедляет работу), так что это может снизить производительность. Что-то, что вы захотите протестировать.
Из того, что вы описали, я бы, вероятно, использовал встроенную систему безопасности вашей гостевой ОС для шифрования данных по мере необходимости, чтобы защитить данные, которые вас беспокоят, или использовать зашифрованный том на диске или USB-накопителе (что-то вроде Truecrypt) или использовать такой инструмент для шифрования внутри гостя для защиты информации. Лучше всего использовать встроенные инструменты, такие как шифрование Windows на NTFS или Truecrypt. И любые другие средства защиты, которые вы можете использовать на ноутбуках (например, соответствующие изменения настроек BIOS).
Вы хотите vmware ACE.
Это похоже на vmware player, но изображения зашифрованы самой vmware. Вы можете делать такие вещи, как устанавливать время истечения срока действия и пароли, а также удаленно отключать / удалять виртуальные машины.
Теперь, как все это выдержит согласованную атаку на одну из ваших виртуальных машин? Наверное, не очень хорошо, но это было бы лучше, чем распространять обычные виртуальные машины без защиты.