我站在以下任务之前:使用定制软件的VMWare“模板”(基于SLES11),将分发给某些客户端。 他们将收到客户端特定的模板副本,并将其导入本地ESX服务器。 但! 他们不应该得到任何本地访问!
有两个部分需要考虑:
1)如果图像本身没有encryption,甚至可能打开,甚至没有运行,数据可能被提取或更糟:更改。 或者有人可以改变启动过程,启动一个SLES救援镜像,然后安装镜像分区
2)显而易见的解决scheme是encryption虚拟光盘,并在引导加载程序(例如truecrypt)请求密码 – 但客户端不应该知道密码,我不会在每次启动时input密码)
所以问题是:如何encryption/保护这个VMWare镜像?
如果您发现他们曾经login系统并且改变了任何事情,您可以通过合同协议和撤销支持。 当潜在的攻击者(你的客户)拥有对系统的“物理”访问权时,你可以做的事情很less。 这不像你可以locking他们自己的VMware系统。
为了给你一个更好,更有针对性的答案:你不希望他们能做什么? 他们可以采取什么行动给你agita? 在操作系统内进行更改? 使用诸如Tripwire之类的东西来审计任何更改(如果发现更改,则拒绝支持)读取包含您的密码的configuration文件,这对每个客户的每个设备都是一样的? 这可能有点困难。
对于第一点 – 患者数据。 如果您在美国HIPAA之下,您需要从合格来源获得针对贵公司的具体答案,而不是某个互联网问答网站。 老实说。 这就是说,病人数据是由你/你的公司生成/存储的吗? 可能不是 – 我想它是由您的客户生成/存储的,恰好在您的设备上。 这是他们的屁股,所以他们需要保护这个设备。
对于第二点 – Jeebus。 至于“不改变configuration”,像Tripwire这样的东西将有助于确定是否发生。 防止最终用户这样做? 危险设备制造商不能阻止客户使用切割机和拆除安全条,但只要文件中提到“永远不要这样做;死亡的风险”,那么通常在客户面前的责任就是愚蠢事情。 IANAL当然。
本质上你不。 不要以为虚拟化解决了这个问题 – 您应该像对待客户交付物理机器一样对待您的安全性。
换句话说,如果您将VMDK / OVF传递给它们,则必须假定它们可以完全访问控制台和硬盘。
你如何处理这个问题取决于你,但是解决scheme几乎肯定不是技术问题。 鉴于现在远比你大的组织正在发送虚拟设备,并且通常使用root密码,所以我build议你只是从错误的angular度来处理这个问题。 你究竟想要保护什么?