Безопасность благодаря виртуализации

Опубликовано: 9 Апреля, 2023

Введение

Все мы знаем, что виртуализация может сэкономить компаниям деньги и упростить управление ИТ-ресурсами, но можно ли ее также использовать для повышения безопасности наших систем и сетей? От создания виртуальных приманок и приманок до использования Hyper-V для изоляции ролей сервера и плавной изолированной программной среды виртуальных приложений с последней версией VMWare Workstation — ответ положительный. В этой статье будут рассмотрены способы использования инструментов виртуализации для повышения безопасности вашей среды Windows.

Безопасность виртуализации и виртуализация для обеспечения безопасности

Мы много слышим о проблемах безопасности, возникающих в виртуализированных средах, и большая часть разговоров, похоже, сосредоточена на том, как защитить виртуальные машины. Это правда, что технология виртуализации может представлять некоторые риски для безопасности; однако при правильном выполнении виртуализация также может обеспечить множество преимуществ, связанных с безопасностью.

Контроль является важным элементом защиты систем, в том числе внутри организации и тех, которые имеют доступ к ресурсам вашей сети извне (например, портативные компьютеры и мобильные устройства, используемые удаленными пользователями). Виртуализация приложений предоставляет вам возможность осуществлять централизованный контроль над приложениями, к которым обращаются конечные пользователи, а виртуализация рабочих столов позволяет создавать безопасные изолированные вычислительные среды для потенциально опасных приложений, веб-сайтов и т. д.

Централизация данных облегчает защиту этой информации, а технология виртуализации на основе серверов означает, что конфиденциальные данные не хранятся на настольных компьютерах или, что более важно, на портативных компьютерах, которые можно легко потерять или украсть.

Песочница

Песочница — это изолированная среда, которую можно использовать для безопасного запуска программ, которые могут представлять угрозу для операционной системы, других приложений и/или сети. Виртуальная машина не может напрямую обращаться к ресурсам хоста, поэтому она представляет собой идеальную песочницу. Если у вас есть приложение, которое нестабильно, имеет дыры в безопасности или просто не проверено и неизвестно, вы можете установить его на виртуальную машину, чтобы в случае сбоя или взлома оно не повлияло на остальную часть хост-системы.

Поскольку веб-браузер часто является каналом для вредоносных программ и атак, хорошей практикой безопасности является запуск браузера на виртуальной машине. Вы также можете запустить другие программы, связанные с Интернетом, такие как почтовый клиент, программы чата и программы обмена файлами P2P, на виртуальной машине. Виртуальная машина имеет доступ к Интернету, но не к локальной сети компании. Это защищает операционную систему вашего хоста и бизнес-программы, которые обращаются к локальным ресурсам, от любых атак на виртуальную машину, поступающих через интернет-соединение.

Еще одним преимуществом является простота восстановления виртуальной машины в случае ее взлома. Программное обеспечение для виртуальных машин позволяет делать «моментальные снимки» машин в определенные моменты времени, и очень просто выполнить откат к моменту, предшествующему компрометации.

Бесшовные виртуальные приложения и широкие возможности рабочего стола с VMWare Workstation 6.5

Последняя версия VMWare Workstation (v6.5) обеспечивает наиболее интегрированный рабочий стол благодаря Unity, функции, которая позволяет вам просматривать отдельные приложения с виртуальной машины на хост-компьютере, как если бы они были приложениями, работающими на хост-ОС. Для пользователя это обеспечивает более плавную интеграцию виртуальных приложений и, следовательно, более приятное взаимодействие с конечным пользователем. Поскольку вы можете перетаскивать или копировать и вставлять данные между виртуальной машиной и хостом, пользователь вряд ли узнает, что приложение работает на виртуальной машине. Это означает, что больше нет «фактора хлопот», связанного с изолированием приложения, такого как веб-браузер в виртуальной машине.

Это новое программное обеспечение также позволяет настроить виртуальную машину так, чтобы она могла охватывать несколько мониторов. Это особенно полезно, когда вам нужно запустить несколько приложений одновременно на виртуальной машине. Или вы можете настроить разные виртуальные машины так, чтобы каждая из них отображалась на отдельном мониторе, что упрощает отслеживание того, на каком виртуальном компьютере вы работаете в данный момент времени. Вы также можете запускать виртуальные машины в фоновом режиме, не используя пользовательский интерфейс рабочей станции. Вы можете узнать больше о новых функциях VMWare Workstation 6.5 здесь: VMWare Workstation 6.5

Изоляция сервера

Консолидация серверов — основная цель, для которой многие предприятия используют виртуализацию. Конечно, вы можете запускать несколько серверных ролей на одной машине без виртуализации; ваш контроллер домена также может функционировать как DNS-сервер, DHCP-сервер, RRAS-сервер и так далее. Но наличие нескольких ролей на одном сервере, особенно на контроллере домена, создает значительные риски для безопасности. Виртуализация позволяет запускать все те же роли на одной физической машине, изолируя серверы друг от друга, поскольку они работают на разных виртуальных машинах.

Microsoft разработала Hyper-V для предотвращения несанкционированного обмена данными между отдельными виртуальными машинами. Каждая виртуальная машина работает в отдельном рабочем процессе в родительском разделе и работает с ограниченными привилегиями в пользовательском режиме. Это помогает защитить родительский раздел и гипервизор. Другие механизмы безопасности, направленные на изоляцию виртуальных машин, включают в себя отдельные виртуальные устройства, отдельную шину VMBus от каждой виртуальной машины к родительскому разделу и отсутствие совместного использования памяти между виртуальными машинами. Вы можете узнать больше о том, как это работает, в этом обсуждении презентации Джеффа Вулси, старшего менеджера программы Microsoft для Hyper-V: blog.scottlowe.org

ПРИМЕЧАНИЕ:
 Важно отметить, что если операционные системы виртуальных машин передают содержимое между собой и совместно используют диски в локальной сети, это создает уязвимость, которую можно использовать, и сводит на нет некоторые эффекты изоляции, связанные с использованием виртуальных машин.

Honeypots и Honeynets

Приманки — это компьютеры, созданные для заманивания злоумышленников, а приманка — это целая сеть приманок. Honeynet выглядит для стороннего наблюдателя как производственная сеть. Его цель тройная:

  • чтобы отвлечь злоумышленников от вашей реальной производственной сети
  • чтобы предупредить вас о типах попыток атак, чтобы у вас было время специально защитить от них вашу «настоящую» сеть и системы
  • для возможного сбора информации, которая может быть использована для идентификации злоумышленников

Приманки и сети-приманки, конечно, могут быть построены с использованием физических машин, но это может быть дорого и сложно в управлении. Благодаря технологии виртуализации большая сеть-приманка может быть построена на одной физической машине с гораздо меньшими затратами. Виртуальные рабочие столы могут просматривать веб-страницы, чтобы обнаружить, какие существуют вирусы и вредоносные программы, от которых ваше антивирусное программное обеспечение не защищает.

ПРИМЕЧАНИЕ:
 В качестве наилучшей практики безопасности приманки, предназначенные для отражения атак из Интернета, должны запускаться на выделенной физической машине, которая не подключена к вашей реальной производственной сети или имеет межсетевой экран между ними. Приманка обычно размещается в демилитаризованной зоне или сети периметра. Другой подход заключается в размещении приманки во внутренней сети для обнаружения атак, исходящих от инсайдеров.

Поскольку сейчас многие организации используют свои производственные серверы, объединенные на виртуальных машинах, виртуальная среда больше не служит сигналом для злоумышленников о том, что это не настоящая производственная сеть. Рики Магалхас более подробно рассказал о виртуальных приманках в статье, ранее опубликованной на этом сайте: Understanding Virtual Honeynets.

Резюме

Правильно развернутые технологии виртуализации могут обеспечить дополнительный уровень безопасности для машин в вашей сети. В целях безопасности операционные системы и приложения, работающие на виртуальных машинах, должны быть защищены так же, как и на отдельных физических машинах. Виртуализация должна быть лишь одним из многих инструментов в вашем арсенале безопасности.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023