1 votos

Aislamiento de instancias de macOS arrancadas desde unidad interna vs externa

Objetivo

Estoy tratando de crear diferentes entornos aislados en la misma máquina. Por razones de seguridad, cada entorno debe estar aislado como si estuviera operando efectivamente con diferentes máquinas. Necesito tener plena capacidad de sistema operativo en cada entorno, junto con conexión a Internet. Prefiero tener macOS en todos los entornos, pero soy flexible.

Configuración

MacBook Pro M3 - 18gb de RAM y 512gb de SSD con macOS 14.2.1

Modelo de amenazas

Malwares "generales", ataques dirigidos por no expertos y expertos, sin agencias de tres letras. La preocupación principal son los malwares que escapan de un entorno a los demás y obtienen acceso a información delicada contenida allí.

Soluciones potenciales

Después de investigar, parece que hay dos posibles soluciones:

A) Iniciar diferentes instancias de macOS dentro del mismo disco interno: crear diferentes particiones encriptadas en el disco interno. He encontrado información contradictoria con respecto al aislamiento efectivo (ver por ejemplo ¿Se pueden ejecutar dos instancias de MacOS en un Macbook para que no tengan absolutamente ninguna posibilidad de compartir datos entre sí? )

B) Iniciar macOS desde un disco externo: conectar el disco externo solo cuando la alimentación está apagada y para iniciar macOS, nunca conectarlo cuando el sistema operativo interno está en funcionamiento.

¿Cuál es la mejor solución para maximizar la seguridad y reducir los riesgos?

Muchas gracias

P.D. No soy un experto en tecnología, así que por favor discúlpame si he dicho tonterías.

EDIT: He editado la pregunta y eliminado todas las preguntas secundarias

0voto

user43889 Puntos 266

Este tipo de pregunta abierta no tiene respuestas claras. Más bien solo puede llevar a discusión. No obstante, aquí están mis pensamientos sobre lo que propones.

Prefiero la Opción B sobre la A. Pero quizás mejor sería:

Opción C: Dos discos externos, nunca conectados al mismo tiempo y sin conocer la contraseña de cifrado del volumen de datos internos de macOS.

En tu escenario no estamos hablando de una persona maliciosa, ejecutando un disco, intentando corromper el otro disco. Más bien nos referimos a software malicioso adquirido de alguna manera sin que el usuario lo sepa.

Debilidades y mitigación:

  1. Arrancar en un Mac de Apple silicon (Mx) siempre implica el disco interno para cargar el entorno de arranque pre-macOS. El disco interno también contiene información sobre qué discos están permitidos para arrancar. Se podría pensar que está protegido, pero necesita una investigación más detallada. Mitigación: a) Sin una persona maliciosa esto requeriría malware muy específico; b) no deshabilites SIP ni relajes la seguridad de arranque más de lo necesario para el arranque dual.
  2. Si los dos entornos comparten recursos externos (compartidos de archivos locales, servicios en la nube, etc.) entonces serían un vector potencial para que el malware se mueva entre los discos. Mitigación: Asegurarse de no compartir recursos externos.

Respecto a tus preguntas adicionales:

S1 y S2: Mira mis comentarios anteriores sobre debilidades y mitigación.

S3:

Puedes utilizar FileVault en cada disco externo. Una persona maliciosa con acceso al 'otro' disco podría borrarlo. También podrían usar un martillo. Podrían arrancar el otro disco (iniciar macOS) pero no podrían ir más allá de la pantalla de inicio de sesión.

La mitigación para este tipo de riesgo debe ser dos personas con su propio lugar seguro donde almacenar sus discos. Pero los escenarios que involucran personas maliciosas (espías, competidores comerciales, etc.) son muy diferentes del malware y deben ser cuidadosamente especificados.

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X