¿Puede permitir de forma segura que los usuarios creen máquinas virtuales en sus estaciones de trabajo?

Question

¿Puede permitir de forma segura que los usuarios creen máquinas virtuales en sus estaciones de trabajo?

#1 de dandaman12 (1 votos)

3

Me mudé de un trabajo en el que se alentaba a los desarrolladores a usar tecnologías como docker y vagrant para crear máquinas virtuales en sus estaciones de trabajo para pruebas y desarrollo.

En mi nuevo trabajo, el administrador de TI insiste en que permitir que un usuario cree una máquina virtual comprometerá la seguridad de toda la empresa. Sé de muchas compañías (como puppetlabs y opscode) que permiten a vagrant y docker dentro de su compañía.

¿De qué manera permitiría a los usuarios crear un mayor riesgo de máquinas virtuales?
¿Hay una manera de permitir que las máquinas virtuales minimicen el riesgo? (Quizás use imágenes aprobadas)

Actualizar

Enfocado principalmente en el riesgo de permitir la virtualización completa en estaciones de trabajo (virtualbox, vagrant, hyper-v, kvm)

virtualization risk-analysis

pregunta spuder 17.04.2015 - 22:31

fuente

1 respuesta

Lea otras preguntas en las etiquetas virtualization risk-analysis

Estructura de seguridad de una API ¿Cómo se puede lograr la paralelización en modo CTR?

score 1 · Answer 1

Todo se reduce a la segmentación de red de la máquina virtual o el contenedor de su sistema operativo host. Si tiene una máquina virtual invitada que contiene un sistema operativo vulnerable o un contenedor que aloja una aplicación que no se mantiene correctamente (es decir, parches), suponiendo que cualquiera de estos dos se conecte a su red corporativa a través de una red puente o una red compartida. corre la posibilidad de un ataque que podría penetrar en la red interna. Si se toman los pasos adecuados para segmentar las VM o la red de contenedores desde la red del host (es decir, solo las redes NAT del host o personalizadas), no debería haber ningún problema con que los usuarios creen sus propias VM. Esto supone que tiene una forma de forzar automáticamente esta configuración porque no confiaría en un proceso o en un ser humano para cumplir con la aplicación de la red adecuada.