Ich stelle eine Webanwendung auf einem Linux-Server (Ubuntu) auf einer virtuellen Maschine bereit (in VMWare ESX 5.1 und der Hostcomputer ist Windows).
Ich muss die gesamte Anwendung und das Gastbetriebssystem vor dem Kopieren auf einen anderen physischen Host schützen.
Ist das möglich?
Kann ich den Linux-Gast so einrichten, dass er nur auf diesem Host läuft?
Kann ich den Host-Rechner vom Gastbetriebssystem unterscheiden?
Wie?
Danke
Antwort1
In einer gut funktionierenden Virtualisierungsumgebung kann, sollte und darf der Gast den Host nicht identifizieren, wenn der Host dies nicht ausdrücklich zulässt. Dies steht natürlich im völligen Widerspruch zu Ihrer Anforderung nach so etwas wie einem DRM-System für VMs.
Dadurch stehen Ihnen einige Optionen zur Verfügung. Einige davon sind:
- Fordern Sie die MAC-Adresse des Hosts an, der in Ihre Anwendung eingegeben wird, und führen Sie dann ein Rap- und Ping-Signal an ihn aus. Die Roundtrip-Zeit sollte eine Diagnose ermöglichen.
- Verwenden Sie Kryptografie und einen USB-Passthrough-Dongle
Lassen Sie mich hinzufügen, dass die erste Regel von DRM lautet, dass DRM nicht funktioniert. Überlegen Sie es sich also noch einmal, ob Sie Ressourcen in etwas stecken möchten, das letztlich eine verlorene Sache ist.
Antwort2
Lassen Sie mich Ihnen meinen Überblick geben, der auf meiner Erfahrung mit Virtualisierung beruht. Jede Malware mit einer Netzwerkkomponente verbreitet sich dorthin, wo ihre Adressierung/Weiterleitung es zulässt. Normale/bekannte Malware funktioniert in der Regel nur im „Benutzermodus“, also in einem solchen verdeckten Kanal. Wenn Sie CPUs gemeinsam nutzen, kann ein aktiver Prozess auf einer VM seinen Status effektiv an eine andere VM übermitteln (das ist Ihr prototypischer verdeckter Timing-Kanal). Ein verdeckter Speicherkanal wäre etwas schwieriger, da die virtuellen Festplatten in der Regel eine feste Grenze haben. Sofern Sie also kein System haben, das zu viel Speicherplatz beanspruchen kann, sollte dies kein Problem sein.