Qubes プロジェクトのリーダーである Joanna Rutkowska は、Qubes が依存している概念を文書化することに優れた仕事をしています。そのため、ソースから情報を取得し、特に次の 2 つのドキュメントを読むことを強くお勧めします:
- ソフトウェアのコンパートメント化と物理的な分離 (または、Qubes OS が VM のランダムなコレクション以上のものである理由)
- QUbes OS との違いは...
Qubes は、複数の vmWare インスタンスを実行する場合に比べてユーザー エクスペリエンスを向上させるだけでなく、よりきめ細かい分離ももたらします。
大まかに説明すると、あなたが説明するモデルは、1 つの大きなボックス (ホスト システム) 内に一連の小さなボックス (VM) を配置するようなものです。すべての VM はホスト システムを経由して任意のデバイス (ネットワーク、USB、DVD リーダーなど) にアクセスし、ホスト システムは両方とも VM、デバイス、ユーザー インターフェイスを制御し、インターネットに直接接続します。
Qubes の背後にあるアイデアは、小さなボックスを過大な大きなボックスに格納するのではなく、一種の仮想ローカル ネットワークで小さなボックスを構成して、一緒に見えるようにすることです。 1つではなく、1つを使用しない大きな箱のように.
見る必要性 ユーザーがすでに知っていることは、ユーザーの採用にとって重要です。しかし、舞台裏では、システムのすべての部分が互いに分離されています。主な違いは、ユーザー インターフェイスがネットワークに面しておらず、インターネットに接続されていないことです。ネットワーク専用の VM は、ファイアウォール専用の別の VM によって残りの VM から分離されます。 Qubes 3.0 は、USB デバイス専用の VM を持つことができる待望の機能をもたらしました。
これを攻撃者の視点から見るには:
-
あなたの Windows ベースのソリューションをハッキングしたい場合、私がしなければならないことは、あなたの Windows ホスト (単一障害点) を悪用することだけです。これを取得すると、すべての電源が入ります。ネットワークに面しているため、これは比較的簡単で、リモート エクスプロイトからリバース シェル トロイの木馬まで幅広い可能性があります。
-
Qubes をハッキングしたい場合、Xen もメインの Dom0 ドメインも外部の世界と直接リンクしていないため、ゲストの位置から開始するしかありません。そこから、ゲストからゲストへの移行または管理を行う方法を見つけます。 Xen コアを悪用するか、Dom0 で実行されているユーザー インターフェイスに到達します (このような可能性を正確に回避するために、ゲストの X サーバーが特別に設計された強化されたディスプレイ サーバーに置き換えられていることを認識しています。一般に、すべての VM 間通信は、危険にさらされる領域を減らすように慎重に設計されています。最小限)、悪意のあるソフトウェアと通信できるように適切なトンネルを構築します (入るだけでは十分ではありません。ネットワークに面したシステムでは些細なことですが、データを外に出せるようにする必要がありますが、隔離されたゲスト システムではさらに困難です)。
付け加えておきたいのは、Qubes OS は最もよく知られており、この概念を実装する唯一のオープンソース イニシアチブとして文書化されていますが、概念自体は完全に新しく革新的なものではありません。たとえば、Polyxene は、防御レベルのデスクトップ システムを保護するためにまったく同じアプローチを採用している独自のシステムです。これは、そのような技術について議論することは、オープンソースやプロプライエタリな OS について議論することを超えているという事実を強調するためだけに言っています.