14-1 VM 的安全性

http://www.mobile01.com/topicdetail.php?f=494&t=4790863&p=1

不管是 vm/lxc/docker 都是 sandbox 的形式保護. 當 vm/lxc/docker 當機, host 依然可以維持運作. 這個是虛擬化的本質.
.
安全性以及你提到的網路安全性就不一樣了. 首先 NAS 本身對外連接, 架設其服務所需要的網站 & 服務, 這部分使用很多 openssl 的 library 以及 php 等等套件. 在所有市售品的 NAS 的套件更新太慢了, 所以它的安全性是超級低.

請看 https://www.openssl.org/news/secadv/20160503.txt Severity: High. 2016/05/03 嚴重的 bug. 但是到了今天我伺服器上所有的 patch 都已經更新完畢了. 但是 Q & S 的 nas 的 patch 連影子都沒有.

所有的 debian/ubuntu/centos/freebsd 基本上都會在 5個工作天內完成 patch 提供更新, 但是不管是 Q牌或是S牌的更新是絕對超過 30天以上的.

以對外服務的 library 來看. VM 因為所使用的 OS 更新速度的關係, 它會比市售的 NAS 來的安全! 我反而建議把所有 NAS 的對外服務關閉.

再來就是 VM 有自己獨立的 file system. 其 file system 損會是不會傷害到 host 的資料. 但是 LXC/Docker 是允許跟 NAS host 共用資料夾, 這個時候, 就有機會讓針對於 host 共享的資料夾的資料造成毀損.

若使用VM假設的網站被入侵，那從VM端入侵到host端容易嗎？
又，入侵者如何得知入侵主機是VM還是host呢？

就用交換器切VLAN, 不然就放在不同網段, 都是很好的方法

再來就是要抓侵入點, 要安裝 https://www.graylog.org/ 去找.

最後如果, 防火牆是使用 PFSense, 你的安全係數可以拉很高! 不管是 Deep packet inspection (DPI), Intrusion Detection System IDS 以及 Intrusion Prevention System 都有. 但是就要看你防火牆的 cpu 是否夠力了

，host跟VM間會用到NFS。看起來這就會造成風險存在？

你的問題在於資料如何做得安全. 這部分其實不是 VM 的問題. 

VM 的 Sandbox 是確保執行的層面, VM 當機時不會影響到 Host 或是其它 VM 而能繼續提供服務的安全性

VLAN 的 Sandbox 是提供了網路架構的層面, 確保 VM 被入侵時, 不會繼續干擾或是侵略其它 LAN 上面的伺服器.

PFSense 是最外圍的防火牆, 把有害攻擊全部擋在外面.

所以假設在你的內網上有一台電腦被 rootkit 了, 那麼它所有的資料以及它有擁有讀取以及修改的資料, 都會被盜走或是破壞 (刪除或是加密). 你比較需要的是資料上的安全性. 解決資料的安全性只有[備份]/快照

pfsense 主體是 iptable, 但是搭配了其它的 package 後 (直接從 pfsense 裡面選擇安裝), 它就變成非常的強大. 安全防護的 package 如下

1. pfBlockerNG
2. snort IDS/IPS
3. Squid Proxy 可以搭配 clamav 掃毒任何所有的 http request.

但是上述這些服務都非常吃 cpu. 一定要時候夠有力的喲. intel atom 2558 等級以上的才可能考慮全開.

j1900 n3150 n3700 這些都不夠力