仮想マシン上の Linux サーバー (Ubuntu) に Web アプリケーションを展開しています (VMWare ESX 5.1 で、ホスト マシンは Windows)
アプリケーション全体とゲストOSが別の物理ホストにコピーされるのを防ぐ必要がある
これは可能ですか?
Linux ゲストをそのホスト上でのみ動作させることはできますか?
ゲスト OS からホスト マシンを識別できますか?
方法は?
ありがとう
答え1
正常に機能する仮想化環境では、ホストが明示的に許可しない限り、ゲストはホストを識別できず、識別すべきでもなく、識別できない可能性があります。これはもちろん、VM 用の DRM システムのようなものの要件とはまったく逆です。
これにはいくつかのオプションがあり、その一部を以下に示します。
- アプリケーションに入力するホストの MAC アドレスを要求し、それを rarp して ping します。往復時間によって診断が可能になります。
- 暗号化とUSBパススルードングルを使用する
付け加えておきますが、DRM の第一のルールは、DRM は機能しないということです。したがって、最終的に無駄になるものにリソースを投入するかどうかは再考してください。
答え2
仮想化の経験に基づいて、概要を説明します。ネットワーク コンポーネントを持つマルウェアは、アドレス指定やルーティングが許す限り、どこにでも広がります。通常のマルウェアやよく知られているマルウェアは、このような隠れたチャネルで「ユーザー モード」でのみ動作する傾向があります。CPU を共有している場合、1 つの VM 上のビジー プロセスは、別の VM に状態を効果的に伝達できます (これが、典型的なタイミング隠れたチャネルです)。ストレージ隠れたチャネルは、仮想ディスクにハード リミットがあることが多いため、少し難しくなります。そのため、ディスク領域をオーバーコミットできるシステムでない限り、問題にはなりません。