Вопрос или проблема
Коренная причина моей проблемы заключается в том, что мне нужно запускать ненадежное программное обеспечение на физической машине с Windows, что означает, что я не могу просто использовать виртуальную машину из-за серьезных потерь производительности, которые делают программное обеспечение непригодным для использования.
В то же время мне необходимо иметь какую-то защищенную область (а именно виртуальную машину), где у меня есть конфиденциальные данные и безопасное программное обеспечение, работающие таким образом, чтобы я мог быть абсолютно уверен, что хост-машина не имеет доступа к этим данным. Чувствительная часть моей системы не требует производительности на уровне «bare metal» и не требует Windows в качестве операционной системы, хотя ей нужно иметь безопасный способ передачи данных между ненадежной физической машиной и защищенной областью.
Я понимаю, что если просто иметь две отдельные физические машины, это решило бы проблему, но моя рабочая станция — это Intel 12900kh/128 ГБ оперативной памяти DDR5/RTX 2080, которую я специально приобрел с намерением создать такую конфигурацию.
Я чувствую себя несколько озадаченным этой проблемой, потому что не совсем уверен, безопасно ли и работает ли самое простое решение, которое приходит на ум. Как бы вы подошли к этому?
Несмотря на то, что вы говорите, что ожидаете “серьезные потери производительности”, я бы предложил установить ваше приложение в Hyper-V виртуальной машине и затем проверить, какова фактическая производительность.
Посмотрите детали о том, как включить Hyper-V и как создать виртуальную машину.
Вы можете рассмотреть различные конфигурации:
- Одна Hyper-V виртуальная машина, на которой запускается ненадежное приложение, чувствительные данные находятся в хост-системе.
- Одна Hyper-V виртуальная машина, которая содержит конфиденциальные данные. Ненадежное приложение работает в хост-системе. Это было бы не совсем безопасно, поскольку приложение потенциально может оказать влияние на хост-систему, а затем и на Hyper-V виртуальную машину.
- Две Hyper-V виртуальные машины: одна для ненадежного приложения и одна для конфиденциальных данных. Преимуществом было бы то, что не только приложение изолировано, но и конфиденциальные данные также изолированы как от приложения, так и от хост-системы.
Ответ или решение
Ваш вопрос о настройке ОПСЕКа (оперативной безопасности) для разделения защищенных участков от небезопасного песочницы программного обеспечения является весьма актуальным в свете вашего намерения запуска нежелательного ПО на «голом» Windows-машине. Давайте разберем возможные подходы и решения вашей задачи.
Основные аспекты вашей ситуации
- Мощности оборудования: Ваше оборудование Intel 12900KH с 128 ГБ RAM и RTX 2080 действительно подходит для выполнения задач, требующих высокой производительности.
- Требования к безопасности: Важно убедиться, что небезопасное ПО не может получать доступ к конфиденциальным данным или управлять защищенной средой.
- Проблема производительности: Вы упомянули о замедлении работы при использовании виртуальных машин, что действительно может быть проблемой.
Рекомендованные подходы
1. Использование Hyper-V
Несмотря на ваше опасение по поводу производительности, я бы порекомендовал попробовать установить ваше небезопасное ПО в Hyper-V, так как современные процессоры могут эффективно обрабатывать виртуализацию.
Возможные конфигурации:
-
Конфигурация 1: Одна Hyper-V ВМ для небезопасного ПО, а защищенные данные остаются на хостовой системе. Это нецелесообразно, так как небезопасное ПО может повредить хостовую систему.
-
Конфигурация 2: Одна Hyper-V ВМ для хранения конфиденциальных данных, а небезопасное ПО работает на хосте. Это также небезопасно, поскольку небезопасное ПО может повлиять на хост и затем на ВМ.
-
Конфигурация 3: Две VМ: одна для небезопасного ПО и одна для конфиденциальных данных. Это наиболее защищенный вариант, так как изоляция способствует предотвращению доступа небезопасного ПО к конфиденциальным данным.
2. Использование программных и аппаратных средств безопасности
Для повышения уровня безопасности вы можете рассмотреть:
-
Дополнительные уровни изоляции: Используйте сетевые настройки и фаервол в Hyper-V, чтобы заблокировать доступ между ВМ и хост-машиной, а также между ВМ между собой (если необходимо).
-
Безопасные каналы передачи данных: Для передачи данных между небезопасной ВМ и защищенной средой, используйте зашифрованные каналы передачи данных (например, SSH или VPN-туннели), либо физические носители, которые вы можете очистить после использования.
-
Регулярное резервное копирование конфиденциальных данных: Имея возможность автоматического резервного копирования, вы сможете избежать потерь информации в случае атаки или коллапса ВМ.
3. Альтернативы
Если вы замечаете, что производительность все же не соответствует вашим требованиям, возможно, стоит рассмотреть альтернативные гипервизоры, такие как VMware или VirtualBox, которые могут предложить разные уровни оптимизации производительности. Однако для полного физического разделения данный подход будет неэффективен.
Заключение
Таким образом, ваш подход к настройке оперативной безопасности может быть осуществлен с помощью виртуализации на базе Hyper-V при условии, что вы будете использовать правильные конфигурации для обеспечения безопасности конфиденциальных данных. Настоятельно рекомендую протестировать производительность приложения в виртуализированной среде. Если возникнут проблемы, подумайте о дальнейшем исследовании альтернативных решений, которые могут лучше подходить для ваших нужд.