Soporte de TI y preocupaciones de seguridad con respecto a las máquinas virtuales locales

Navega tus respuestas
1

Comencé a trabajar en una gran institución financiera hace varias semanas como ingeniero de software y, a pesar de que todos los demás aspectos de este trabajo son excelentes, me obsesionan las constantes restricciones que la política de seguridad de las estaciones de trabajo nos pone aquí. No se nos permiten derechos de administrador local en nuestras estaciones de trabajo con Windows 7, lo cual es normal y estoy de acuerdo. Lo que es más preocupante es que solo se nos permite usar software en estas estaciones de trabajo que han sido aprobadas y agregadas a nuestra lista de programas anunciados. Al estar en un proyecto greenfield y trabajar estrechamente con un proveedor para hacer que un POC despegue, este proceso es demasiado lento y, a veces, nos impide hacer nuestro trabajo.

Sé que otros equipos se han topado con este problema y no estoy seguro de cómo lo abordaron, pero al parecer es una batalla que varios grupos ya han luchado y perdido, incluso para que se otorguen excepciones.

Estoy preparando un documento que busca demostrar cómo, si pudiéramos ejecutar VirtualBox en una estación de trabajo con Windows 7, podemos obtener todos los beneficios de los derechos de administración local sin causar riesgos de seguridad indebidos en la máquina o la red. Sé que van a buscar la manera más fácil de rechazar mi propuesta, por lo que estoy tratando de refutar en mi documento cualquier preocupación de seguridad que este grupo pueda tener.

¿Hay algún problema de seguridad importante que se presente con la introducción de máquinas virtuales locales en una estación de trabajo restringida? Si es así, ¿cómo pueden mitigarse esas preocupaciones de seguridad?

Mis disculpas si esta pregunta es demasiado amplia o se publica en el lugar equivocado.

    
pregunta maple_shaft 29.07.2014 - 13:03
fuente

1 respuesta

3

Hablando técnicamente, existe un riesgo muy pequeño de ejecutar una máquina virtual insegura en una máquina segura SI la máquina virtual no tiene acceso a la red (después de todo, así es como investigas el malware). Si tiene acceso a la red, entonces básicamente ha eludido todas las salvaguardas de seguridad.

Desde una perspectiva de seguridad, suponga que su máquina virtual será insegura y, por lo tanto, estará llena de malware (supongamos que). Si tiene la máquina virtual completamente aislada del mundo exterior y, por lo tanto, su propio sistema, es perfectamente benigno. Esto es similar a un laboratorio biológico adecuado con un agente activo: el trabajo se hace, la gente se va a casa, sin problemas. Si tuvieras acceso de red a esa máquina virtual, es similar a ese mismo biolab pero deja las puertas abiertas.

Como desarrollador, constantemente me encuentro con problemas como este y, para ser honesto, los cambios / excepciones como esta generalmente no son una decisión que su empleador pueda tomar. Las políticas de seguridad se diseñan cuando se crea el contrato. Solo tienes que hacer todo lo posible para trabajar dentro de ellos.

Según su comentario, no hay formas realmente seguras de "limitar" realmente el acceso a la red de las máquinas virtuales porque está dentro de la PC host (y por lo tanto, su red). En el nivel de VM, existen métodos muy estrictos (no invulnerables, pero estrictos) para evitar el acceso a la red si lo niegas como configuración. Si elige habilitar, por ejemplo, un cierto puerto durante la configuración que presenta tantas vulnerabilidades asociadas con ese puerto.

Como usted indicó, su compañía le permite hacer un RDP a su máquina en el trabajo. Aunque personalmente, creo que esto representa un gran riesgo para la seguridad, esto le brinda algunas opciones ...

La opción más simple es simplemente llevar un PDR a su máquina en casa y hacer un levantamiento pesado sin restricciones allí.

Ninguno de estos métodos es el más eficiente para un programador ni las políticas de seguridad establecidas para facilitar las cosas.

Yo sugeriría abrir un diálogo con su empleador y describir sus frustraciones. Si hay algo que necesita y no tiene, entonces esa es una preocupación legítima. En el mundo de los contratos hay muy poco espacio para negociar solo cómo se realizan las tareas.

    
respondido por el Matthew Peters 29.07.2014 - 14:44
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo mitigar los ataques que se basan en datos envenenados como desarrollador? ¿Cómo se puede detectar la limitación de la conexión en respuesta a la detección de análisis de puertos?