Red Hat Training

A Red Hat training course is available for RHEL 8

15.4. Funciones automáticas para la seguridad de las máquinas virtuales

Además de los medios manuales para mejorar la seguridad de sus máquinas virtuales que se enumeran en Sección 15.2, “Mejores prácticas para asegurar las máquinas virtuales”, el paquete de software libvirt proporciona una serie de funciones de seguridad que se activan automáticamente al utilizar la virtualización en RHEL 8. Entre ellas se incluyen:

Sistema y sesiones de usuario

Para acceder a todas las utilidades disponibles para la gestión de máquinas virtuales en RHEL 8, es necesario utilizar el system session de libvirt. Para ello, debe tener privilegios de root en el sistema o formar parte del grupo de usuarios libvirt.

Los usuarios que no son root y que no están en el grupo libvirt sólo pueden acceder a un user session de libvirt, que tiene que respetar los derechos de acceso del usuario local cuando accede a los recursos. Por ejemplo, en la sesión de usuario, no puede detectar o acceder a las VMs creadas en la sesión del sistema o por otros usuarios. Además, las opciones de configuración de redes de VM disponibles son significativamente limitadas.

Nota

La documentación de RHEL 8 asume que tiene privilegios de sesión del sistema libvirt.

Separación de máquinas virtuales
Las máquinas virtuales individuales se ejecutan como procesos aislados en el host, y dependen de la seguridad impuesta por el kernel del host. Por lo tanto, una máquina virtual no puede leer o acceder a la memoria o al almacenamiento de otras máquinas virtuales en el mismo host.
Sandboxing de QEMU
Una función que impide que el código de QEMU ejecute llamadas al sistema que puedan comprometer la seguridad del host.
Aleatorización del espacio de direcciones del núcleo (KASLR)
Permite aleatorizar las direcciones físicas y virtuales en las que se descomprime la imagen del kernel. De este modo, KASLR evita que se produzcan explotaciones de seguridad de los huéspedes basadas en la ubicación de los objetos del kernel.