Что такое безопасность на основе виртуализации (VBS)?
Безопасность на основе виртуализации (VBS) существует уже некоторое время, она встроена в большинство операционных систем. VBS позволяет пользователю создавать цифровую копию операционной системы отдельно от основного устройства. Здесь вы можете защитить свои самые важные файлы и информацию от любого вредоносного программного обеспечения. Вы также можете добиться такой защиты, даже если вирус заразит ваше устройство.
По сути, VBS создает «голую операционную систему». В этой системе вы можете запускать приложение отдельно от основной системы в своего рода режиме песочницы. Это позволит вам протестировать и запустить любое программное обеспечение или файлы, в которых вы не уверены. Вам не придется рисковать своим устройством.
Общеизвестно, что самая безопасная информация, которую вы можете иметь, — это информация, которая вообще не подключена к Интернету. VBS пытается имитировать это для файлов, которыми вы хотите поделиться с другими или которые не можете удалить с вашего устройства.
Безопасность на основе виртуализации имеет множество вариантов использования как на индивидуальных, так и на сетевых устройствах. Тем не менее, этот инструмент имеет 3 основных применения:
- Защита данных
- стабильность ОС
- Изоляция ключевого программного обеспечения
Далее я более подробно рассмотрю эти основные области применения и их стандартные реализации. Я также рассмотрю практические и теоретические возможности использования VBS.
VBS: все, что вам нужно знать
Большинство устройств, с которыми вы столкнетесь, будут иметь одну операционную систему, работающую с одним набором оборудования. Сюда входят настольные компьютеры, ноутбуки и мобильные устройства. Виртуализация позволяет использовать уже имеющееся у вас оборудование для развертывания отдельной системы. Затем вы можете использовать эту систему для выполнения конкретной задачи.
VBS использует это отдельное виртуальное пространство для запуска программ и приложений, которые могут быть опасны для вашей системы. Тем не менее, этот виртуальный диск будет удален даже после успешной атаки. Это связано с тем, что программы и приложения являются отдельными и не используют общие системные файлы.
Например, допустим, вам нужно запустить подозрительную ссылку, которую вы получили по электронной почте. В этом случае гораздо лучше использовать виртуальный привод, который будет запускать его отдельно. Если это безопасно, вы можете удалить виртуализацию и запустить ее в обычном режиме для повышения производительности. Однако, если это фишинговая ссылка, виртуальный диск защитит вас. Вы можете просто удалить весь виртуальный диск с вредоносным ПО на нем.
Зачем вам ВБС
Повышенная кибербезопасность в любой ситуации выгодна. Объем вредоносного ПО и киберпреступников увеличивается ежедневно. Это означает, что важно иметь инструмент для защиты вашей системы. Это особенно верно, когда инструмент настолько прост в использовании.
Вашей системе потребуется дополнительная вычислительная мощность для запуска виртуальных дисков. В свою очередь, вы защитите себя от таких проблем, как фишинг и внешнее вредоносное ПО. Эти атаки наиболее часты для малых и средних компаний, поэтому компромисс того стоит.
Прежде всего, вы защитите свое системное программное обеспечение от атак ядра. Как правило, они атакуют операционную систему напрямую. Они могут оставаться незамеченными какое-то время и могут поставить под угрозу всю вашу работу.
Кроме того, вы получаете преимущества защиты данных. Фактически, вы можете хранить конфиденциальные временные файлы на виртуальных дисках. Это отключит их от остальной системы и системных процессов. В результате они менее подвержены нападению.
Изоляция ключевого программного обеспечения
VBS широко изолирует ключевые приложения и защищает их от вредоносного ПО или нестабильных обновлений. Например, вы можете запустить свой браузер внутри виртуальной машины. Затем вы можете щелкнуть любую ссылку или посетить любую страницу, не опасаясь каких-либо последствий для вашего браузерного приложения.
Как только вы закроете приложение и удалите виртуальную машину, у вас будут те же настройки, которые изначально были скопированы с основного компьютера.
Даже для частных лиц некоторые приложения имеют решающее значение для вашего бизнеса. Приложения для дизайна, приложения для повышения производительности или приложения для общения и CRM могут быть чем-то, на что вы полагаетесь каждый день. Поскольку они так же важны для вас, как и операционная система, вы также должны защищать их.
VBS может отделить ваши ключевые приложения от любого программного обеспечения, которое имеет общесистемный контроль режима ядра. Как правило, вредоносное ПО и вирусы, ориентированные на ядро, могут повлиять на это программное обеспечение. Для них может быть доступен пользовательский режим на основном диске. В свою очередь, это сделает его более доступным и легким для обмена.
Это означает, что, используя безопасность на основе виртуализации, вы сможете закрепить ключевые данные приложения в безопасной среде. В то же время вы будете поддерживать полезную часть доступной, как и должно быть.
Обратите внимание, что это не заменит другие типы безопасности. Ваша система по-прежнему нуждается в регулярных проверках. Зараженный компьютер по-прежнему может скомпрометировать и привести к утечке данных, которые вы сейчас используете. При регулярных проверках даже самые фронтальные устройства могут быть постоянно в безопасности.
Ограничения защиты VBS
Обратите внимание, что VBS защищает устройство, создавая виртуальную машину в качестве буфера. Это не влияет на другие места, где может произойти заражение. Если съемный накопитель напрямую заражает компьютер, ваша система не будет в безопасности. VBS также не защитит вас от заражения через приложения, не работающие с VBS.
Наиболее частые проблемы возникают с приложениями, которые в остальном безопасны и работают на компьютере без виртуализации. Это часто бывает со многими компаниями для приложений CRM. Если эти приложения будут взломаны, то же самое произойдет и с вашим устройством.
Вот почему вы должны использовать VBS вместе с антивирусом, антишпионским ПО и надежным брандмауэром. Это создаст многоуровневую киберзащиту для ваших операций.
Защита данных VBS
Самым большим преимуществом виртуального диска является то, что он отделен от остального хранилища. Это включает в себя приложения, которые всегда включены. Это означает, что он имеет дополнительный защитный слой. Существующее вредоносное ПО, заразившее устройство, не может получить доступ к этому виртуальному диску.
Это связано с тем, что виртуальная машина намеренно не подключена к системным приложениям физической машины, которую вы используете. Хотя некоторые вредоносные программы могут удалить виртуальную машину и все данные на ней, они не смогут прочитать какие-либо данные, хранящиеся внутри.
Поскольку информация хранится на виртуальном диске, она будет в цифровом виде отделена от остальной части вашего устройства. Это означает, что большинство приложений не могут получить доступ или даже увидеть этот диск. Если он защищен паролем, вы не сможете добраться до него очень быстро.
В этом случае VBS работает наоборот. Он не защищает вашу основную систему от вредоносных программ на виртуальном диске. Скорее, он защищает данные на виртуальном диске от потенциальных вредоносных программ на основном устройстве.
Даже с инструкциями вирусов на основе ядра исследовать, записывать или отправлять данные в другие места и даже сторонам в Интернете, они не смогут получить доступ к данным, хранящимся на виртуальном диске.
Такой способ защиты данных не так безопасен, поскольку он физически отключен от остальной системы. Тем не менее, некоторым предприятиям требуется, чтобы многие люди имели доступ в разное время. В таких случаях эта защита очень функциональна.
Стабильность операционной системы
Современное вредоносное ПО фокусируется на системных файлах, таких как печально известный «system32» на компьютерах с Windows. Он может работать без вмешательства со стороны кибербезопасности ОС и антивирусных программ. Они называются системами безопасности «на уровне ядра», и они имеют решающее значение для работы ОС.
Атаки на уровне ядра происходят при запуске вредоносного приложения. Вирус находится внутри исполняемого файла. Разрешение на установку приложения также приведет к установке вируса в вашу систему. После установки единственный способ удалить его — либо откатить операционную систему, либо установить совершенно новую.
VBS предотвращает эти атаки, не устанавливая и не запуская приложения в основной системе. Скорее, он устанавливает их в виртуальной среде. Таким образом, вирус влияет только на эту среду. В свою очередь, вы можете легко удалить его с помощью виртуальной машины, как только заметите, или если приложение вам больше не нужно.
Теперь я углублюсь в то, что такое безопасность, основанная на виртуализации, и приведу несколько примеров программного обеспечения для виртуализации.
Что такое безопасность на основе виртуализации Windows?
Виртуальные машины, или VM, в основном создают отдельную операционную систему внутри устройства. Это может изолировать любые данные, приложения или процессы от основной ОС. VBS использует этот принцип в двух направлениях: используя виртуальную машину либо для хранения конфиденциальной информации, либо в качестве песочницы для приложений и систем, которые могут подвергнуться атаке.
При создании безопасности на основе виртуализации мы используем гипервизор для создания виртуальных машин. Эти машины, которые отделены от основной ОС, могут затем запускать разные приложения и хранить разные данные. Они работают независимо от основной системы.
Иногда вам нужна основная ОС для обычных операций. Тем не менее, они могут подвергаться атакам со стороны вредоносных программ, шпионских программ и вирусов, таких как CVE-2020-17087, которую часто называют эксплойтом «нулевого дня» для Windows. (он берет на себя управление операциями на основе ядра.)
Здесь мы можем использовать виртуальные машины для хранения информации там, где системы уровня ядра их не видят. Кроме того, нарушения безопасности на уровне ядра также не могут видеть здесь информацию.
Другое использование VBS — разрешить песочницу и запускать различные системы и процессы в среде, отдельной от основной ОС. В этом случае мы можем запускать приложения и процессы или получать подозрительные данные , не рискуя всей системой.
Особенно с вариантами микровиртуализации, такими как Bromium, становится легко изолировать каждый отдельный процесс на устройстве. Затем вы можете проверить процесс. Для предприятий это позволяет каждому работать с относительной легкостью , сохраняя при этом защиту от вредоносных программ.
В компаниях, в отличие от обычных пользователей, несколько человек должны открывать несколько приложений. Эти пользователи редко внимательно относятся к тому, что они открывают. Дополнительная безопасность приложения в этих случаях будет иметь значение между бесперебойной работой и временем простоя устройства.
Микровиртуализация Bromium
Bromium был основан как стартап в 2010 году с явной целью создания решений виртуализации и снижения угроз для конечных точек, таких как вредоносное ПО или вирусы. С момента своего основания они создали несколько программных и аппаратных решений для этой цели.
В 2019 году их приобрела компания HP, ранее известная как Hewlett-Packard. Bromium начнет предлагать свои решения безопасности на основе виртуализации для всех устройств HP. Они сотрудничают с Windows с 2015 года, и их решения VBS доступны для Windows 10.
Как работает решение Bromium VBS, так это то, что оно имеет виртуальные машины в буфере, которые можно даже интегрировать как аппаратные решения. Затем, если запустится ненадежный процесс, он создаст виртуальную машину только для этого процесса. После этого он запускает процесс в виде песочницы. В этой песочнице он запустит процесс и начнет проверку на наличие вредоносных программ. Все это время процесс и основная система разделены. Как только процесс завершится, виртуальная машина и любое вредоносное ПО, стоящее за ней, исчезнет.
Эта защита используется для защиты от таких проблем, как вредоносные ссылки и фишинг. Если вы нажмете на ссылку вредоносного ПО в браузере, оно запустится на виртуальной машине, которая потребляет очень мало вычислительной мощности. Затем, если страница окажется вредоносной, она будет удалена. Bromium VBS также добавит эту страницу в черный список, чтобы она больше никогда не заразила вашу систему.
Теперь я расскажу, как узнать, активирован ли ваш VBS в Windows, и если нет, то как вы можете его активировать.
Как Windows использует VBS?
С 2015 года Windows включает целостность кода, защищенную гипервизором (HVCI). Он сначала запускает все ненадежное программное обеспечение через виртуальную машину и проверяет его на наличие вредоносного, шпионского ПО и вирусов. Это также предотвращает запуск приложений и процессов из заблокированного списка на вашем устройстве.
Сюда входят все приложения, работающие на устройстве, в том числе внутренние приложения, облачные приложения и веб-приложения. Тем не менее, HVCI фокусируется только на исполняемых приложениях, а не на процессах, выполняемых в других приложениях. Это не защитит вас от фишинговых ссылок, по которым вы переходите.
Основное преимущество этой системы заключается в том, что новые приложения можно свободно запускать и тестировать. Если у этих приложений есть проблемы с кибербезопасностью, это не повлияет на ваше устройство.
Тем не менее, недостатком является производительность. Если вы используете эту систему на ноутбуке или более старом устройстве, каждое используемое вами приложение может работать заметно медленнее. Это потому, что он должен работать на отдельной виртуальной машине.
VBS в Windows 11
В новой Windows 11 некоторые драйверы HVCI могут быть недоступны. Это связано с тем, что операционная система еще не прошла некоторые окончательные исправления и не решила проблемы обратной совместимости. Тем не менее, сама функция безопасности существует.
А именно, как и в случае с каждой новой ОС Windows, нам нужно дождаться обновлений и оптимизаций устаревших функций. Системному администратору лучше подождать с общекорпоративными обновлениями ОС хотя бы год.
Если вы начинаете с совершенно новой системы, лучшим вариантом будет свежая Windows 11. Это потому, что вы не столкнетесь с какими-либо неожиданными изменениями. Ваша компания также сможет использовать все новые возможности новой ОС.
HVCI — это неотъемлемый инструмент безопасности Windows. Если у вас работает относительно современный компьютер, это не должно быть даже малейшей проблемой. Он работает для удаления любых новых процессов из вредоносных программ, ориентированных на ядро, которые могут повлиять на вашу систему. Таким образом, он защищает вас при доступе к страницам и приложениям, у которых нет хорошего сертификата.
Вы можете отключить его для повышения производительности, если вы используете более старое устройство. Тем не менее, рассмотрите возможность инвестирования в более новое оборудование для обеспечения максимальной безопасности. Это особенно верно, если ваши устройства часто используют Интернет или обмениваются данными.
Как проверить, включен ли VBS на вашем устройстве
Для проверки статуса VSB как в Windows 10, так и в Windows 11 процесс очень прост. При условии, что у вас есть все обновления, вы можете найти функции непосредственно в системном приложении.
Для этого выполните следующие действия:
- Нажмите клавишу «Win» на клавиатуре или щелкните логотип Windows в нижней части экрана (слева для Win 10, на док-станции для Win 11).
- Введите MSInfo32, который откроет приложение системной информации. Затем вы увидите страницу, которая показывает, включен ли ваш VBS.
Если он отключен, вы можете включить его 5 различными способами. Я пройдусь по ним дальше.
Как активировать VBS и HVCI в Windows
Читая информацию о безопасности на основе виртуализации, вы часто обнаружите, что термины «специальное оборудование» и «вспомогательное оборудование» взаимозаменяемы, хотя это и не одно и то же.
Специализированное оборудование VBS — это процессоры и жесткие диски, ориентированные на виртуализацию, например процессоры Intel Xeon или AMD Threadripper. И наоборот, вспомогательное оборудование — это любое оборудование, обеспечивающее управление выполнением на основе моделей, которое доступно на потребительских чипах Intel с 2016 года.
При этом у вас есть 5 вариантов включения HVCI как в Windows 10, так и в Windows 11:
- Приложение безопасности Windows
- Майкрософт Интуне
- Групповая политика
- Диспетчер конфигурации конечных точек Майкрософт
- Реестр Windows
Использование реестра — это тот же процесс, что и изменение групповой политики, но с доступом к безопасному режиму загрузки на устройстве. Если вы используете личное устройство и имеете полный административный доступ, всегда лучше работать с защищенной загрузкой. По умолчанию это будет VBS.
Тем не менее, проще всего активировать VBS с помощью приложения Windows Security. Вам даже не нужно следовать всему пути. Просто нажмите клавишу Win и введите целостность памяти. Откроется панель с переключателем включения/выключения, который позволит вам включить VBS.
Зачем активировать VBS и HVCI?
Каждый день даже самые опытные пользователи совершают две очень большие ошибки. Иногда они думают, что они слишком малы или незначительны, чтобы их можно было взломать. В других случаях они считают себя слишком осторожными и знающими, чтобы с ними могло случиться что-то подобное.
Но помните, что новое вредоносное ПО распространяется через ИИ и самовоспроизводится через социальные сети. Это означает, что каждый, у кого есть доступ в Интернет, будет контактировать с ним. Согласно правилу больших чисел, рано или поздно пострадают все.
Активируя VBS, вы предполагаете, что в какой-то момент вы можете нажать на вредоносное ПО. Вы также признаете, что хотите, чтобы VBS защитил вас, когда это произойдет. Вы пожертвуете вычислительной мощностью, чтобы позволить HVCI создавать виртуальные машины. Тем не менее, эти виртуальные машины защитят вас в случае возникновения проблем.
Эта функция позволяет вам иметь более неторопливый доступ в Интернет и общаться с другими людьми, оставаясь при этом защищенным. Таким образом, это один из столпов вашей кибербезопасности, который атакует угрозы, когда вы их обнаруживаете.
Требования к оборудованию VBS
Создание виртуальной машины, и особенно микро виртуальной машины (MVM), не очень требовательно к оборудованию. Тем не менее, это все еще требует некоторой вычислительной мощности. Это следует учитывать при выборе инструмента. В противном случае у вас может не быть этой емкости, и это отрицательно скажется на производительности вашего устройства.
Старые ЦП смогут запускать VBS, но использование чего-то десятилетнего возраста будет иметь серьезные проблемы с производительностью. Ядра Intel будут немного более щадящими, когда дело доходит до возраста. Это потому, что они могут использовать MBEC на моделях до 6 лет.
Для AMD эта технология была представлена всего несколько лет назад с архитектурой Zen 2, которая соответствует третьему поколению чипов Ryzen. Процессоры AMD значительно более доступны, если вы покупаете новый. Тем не менее, маловероятно, что он уже установлен на ваших устройствах.
Если вы пытаетесь быстро исправить защищенную систему и исследуете бывшие в употреблении детали, вы, вероятно, найдете систему вокруг Intel. Особенно в нынешних условиях, когда трудно найти компоненты, даже устоявшиеся компании должны рассмотреть этот вариант.
Интел | AMD | |
Цена | В среднем 400 долларов | В среднем 300 долларов |
Доступность | Доступнее в США | Более доступный по всему миру |
Вычислительная мощность | Более высокая производительность на ядро | В среднем больше физических и логических ядер |
Совместимость | Требуется материнская плата того же поколения | Совместим со всеми сокетами AM4. |
Защита будущего | Не запланировано | Планируется |
Интел
Когда дело доходит до потребительских процессоров для предприятий, Intel уже более десяти лет лидирует, а AMD и Snapdragon отстают. Но это связано со значительной ценой на продукты Intel. С новой архитектурой от других компаний теперь возникает вопрос, какая из систем является жизнеспособной.
Когда дело доходит до процессоров, поддерживающих VBS, вполне возможно использовать что-то вроде Xeon E3-1281, топовой модели 2014 года, и линейку процессоров Haswell.
Ядра Intel i7 того же поколения будут испытывать большие трудности, но у них есть доступный MBEC для запуска его на ЦП, а не в эмуляции. Особенно, когда речь идет о i7 5960X, вычислительная мощность не должна быть серьезной проблемой.
В идеале вы хотите как минимум архитектуру Kaby Lake. Просто убедитесь, что вам не нужен процессор типа APU, поскольку графика должна предоставляться с выделенного графического процессора. Таким образом, ориентируйтесь на i5 7640X или i7 7740X. Оба будут отлично работать для VSB.
Процессоры AMD
Процессоры от AMD немного более снисходительны, когда речь идет о сборке, а также о цене. В среднем их процессоры примерно на 30% дешевле, чем у Intel в той же категории. Однако вам следует рассматривать только третье поколение процессоров Ryzen и Threadripper. Тем не менее, они довольно новые и на удивление редкие в США.
В настоящее время линейка находится на поколении Zen 3+, а Zen 4 планируется выпустить в 2022 году. Zen 2, который вам нужен как минимум, должен быть не старше 3 лет. Поскольку большинство предприятий не обновляли свои системы во время пандемии, необходимой архитектуры просто не будет.
А именно, если вы переходите с Intel на AMD, вам также понадобятся соответствующие материнские платы. Их будет трудно найти в течение следующих нескольких месяцев, пока не восстановится цепочка поставок технологий.
Если вы ищете новые детали, Zen 3+ Threadripper будет творить чудеса для виртуализации. Этот ЦП имеет 64 физических и 128 логических ядер, что делает его идеальным для виртуализации. Это также позволит вам запускать несколько MVM одновременно.
Но если не нужно переплачивать, взять что-то вроде Ryzen 5 3600x будет достаточно. После тестирования он не показал значительного снижения вычислительной мощности. Он будет легко управлять одним MVM за раз.
Заключительные слова
Безопасность на основе виртуализации или VBS чрезвычайно полезна. Он может изолировать процесс на вашем устройстве и позволить вредоносному ПО атаковать его, не затрагивая остальную часть вашей системы. Кроме того, он может защитить часть ваших данных в пузыре, где вредоносное ПО на основе ядра, атакующее операционную систему, не может его коснуться.
У вас также есть варианты для машин микровиртуализации или MVM, которые могут изолировать только один процесс и работать с ним в песочнице, определяя, есть ли в нем вредоносное ПО или нет. Эта функция теперь интегрирована как в Windows 10, так и в новую Windows 11.
Включить его в Windows очень просто. Благодаря новым функциям поиска установка и запуск VBS может занять меньше минуты. Однако это предполагает, что у вас есть аппаратное обеспечение для его запуска. Когда дело доходит до вычислительной мощности, вы можете взять что-то более мощное, чтобы не потерять производительность.
Мы упомянули несколько процессоров, которые справятся с задачей исключительно из-за вычислительной мощности. Тем не менее, множество других вариантов между ними могут быть более доступными или необходимыми для других аспектов вашего бизнеса.
У вас есть еще вопросы о VBS? Ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже!
Часто задаваемые вопросы
Должен ли я включить безопасность на основе виртуализации?
Вероятно. Если вы подвергаетесь повышенному риску от вредоносных программ на основе ядра, вам следует рассмотреть возможность включения VBS для защиты вашей системы во время работы.
Влияет ли виртуализация на производительность?
Немного. Хотя микровиртуальная машина не потребляет столько ресурсов, сколько целая ОС, для создания виртуальной среды ей потребуется вычислительная мощность. Кроме того, виртуальные машины и MVM на базе Linux будут менее требовательны к оборудованию, чем на базе Windows или macOS.
Что понимается под виртуализацией?
Проще говоря, это означает создание отдельной среды, которая будет создавать фиктивную ОС с эмулируемым оборудованием. Этот новый компьютер существует только виртуально внутри вашей существующей машины. Теперь у вас также есть услуги, которые предлагают полную удаленную виртуализацию, часто называемую DaaS или Рабочий стол как услуга.
Какие существуют виды виртуализации?
Любой аспект компьютера можно виртуализировать и создать как отдельную экосистему. Тем не менее, каждая экосистема попадет в одну из пяти категорий. Это может быть виртуализация рабочего стола, приложения, сервера, сети или хранилища. В зависимости от того, какая часть вам нужна, вам не нужно создавать совершенно новую машину. Вместо этого просто сосредоточьтесь на том аспекте, который вам нужен, чтобы снизить нагрузку на оборудование.
Каковы недостатки виртуализации?
Повышенные требования к оборудованию и проблемы с производительностью. Хотя разница в производительности для новых устройств будет минимальной, у старых устройств и менее продвинутого оборудования могут возникнуть проблемы. В этих случаях вам следует рассмотреть виртуальные машины Linux, которые менее требовательны к оборудованию.