Все мы знаем, что виртуализация может спасти компаниям деньги и упростить управление IT-ресурсами, но нельзя ли ее использовать также для увеличения надежности наших систем и сетей? От создания виртуальных honeypots и honeynets до использования Hyper-V для изолирования серверных ролей и до непрерывной «игры в песочнице» виртуальных приложений с последней версией VMWare Workstation – ответ положительный. В этой статье исследуются способы использования средств виртуализации для увеличения надежности вашей среды Windows.
Безопасность виртуализации и виртуализация для безопасности
Мы много чего слышим о вопросах безопасности, возникающих в виртуализованных средах, и большинство обсуждений концентрируются на том, как обезопасить ВМ. То, что технология виртуализации сочетает в себе некоторые риски для безопасности – факт, но при правильной реализации виртуализация может также обеспечить многие преимущества для безопасности.
Контроль – существенный элемент в системах безопасности, включая как системы внутри организации, так и те, которые получают доступ к вашим сетевым ресурсам извне (например, портативные компьютеры и мобильные устройства, используемые удаленными пользователями). Виртуализация приложения обеспечивает вас способом задействовать централизованный контроль над приложениями, к которым получают доступ конечные пользователи, а виртуализация рабочего стола позволяет вам создавать безопасные и изолированные компьютерные среды для потенциально вредоносных приложений, вебсайтов и т.д.
Централизация данных упрощает обеспечение надежности информации, а технология виртуализации на основе сервера означает, что важные данные не хранятся на персональных компьютерах или, что еще важнее, на портативных компьютерах, которые легко могут быть потеряны или украдены.
«Игра в песочнице»
«Песочница» - это изолированная среда, которая используется для безопасного запуска программ, могущих представлять угрозу операционной системе, другим приложениям и/или сети. Виртуальная машина не может получать прямой доступ к ресурсам хоста, что делает ее отличной «песочницей». Если у вас есть нестабильное приложение или имеющее дыры в безопасности, или попросту непроверенное и неизвестное, вы можете установить его в виртуальной машине, так что даже если оно сбоит или становится дискредитированным, это не влияет на работу остальной части системы.
Поскольку веб-браузер часто является каналом, по которому идут вредоносные программы и атаки, хорошей практикой с точки зрения безопасности будет запуск браузера в виртуальной машине. Вы, возможно, также захотите запускать другие программы, связанные с Интернетом (например, почтовый клиент, программы чата и файлообменные программы P2P) в виртуальной машине. ВМ имеет доступ к Интернету, но не к локальной сети компании. Это защищает вашу главную операционную систему и бизнес-программы, которые имеют доступ к локальным ресурсам, от любых атак на ВМ, идущих через Интернет-соединение.
Другим преимуществом является простота, с которой вы можете восстанавливать ВМ в случае дискредитации. ПО ВМ предусматривает моментальные снимки машин в определенные моменты времени, и вернуться ко времени, когда дискредитации еще не произошло, очень просто.
Непрерывные виртуальные приложения и возможности работы с рабочим столом с VMWare Workstation 6.5
В последней версии VMWare Workstation (v6.5) обеспечивается глубокая интеграция рабочего стола с помощью свойства «Unity», которое позволяет вам просматривать индивидуальные приложения с ВМ на рабочем столе хоста, так, как будто они были запущены в ОС хоста. Для пользователей это означает намного более плавную интеграцию виртуальных приложений и, таким образом, намного более приятную работу. Поскольку вы можете перетаскивать и оставлять или копировать и вставлять между ВМ и хостом, пользователь может даже не заметить, что приложение работает в ВМ. Это означает, что теперь нет «барьерного фактора» при «игре в песочнице», как, например, в случае с веб-браузером в ВМ.
Это новое ПО также позволяет вам настраивать виртуальную машину так, что она может охватить несколько мониторов. Это особенно полезно, когда вам нужно запустить несколько приложений одновременно в ВМ. Или вы можете установить несколько ВМ, так чтобы каждая отображала свой монитор, упрощая отслеживание того, с каким именно виртуальным компьютером вы работаете в определенный момент. Вы также можете запускать ВМ в фоновом режиме, не используя пользовательский интерфейс Workstation. Подробнее о новых функциях VMWare Workstation 6.5 вы можете прочитать тут: VMWare Workstation 6.5
Изоляция сервера
Консолидация сервера – это основная причина, по которой во многих бизнесах используется виртуализация. Конечно, вы можете запустить несколько серверных ролей на одной машине без виртуализации; ваш контроллер домена может также функционировать в качестве сервера DNS, сервера DHCP, сервера RRAS и т.д. Но при использовании нескольких ролей на одном сервере (особенно если речь идет о контроллере домена) вы сталкиваетесь со значительными рисками надежности. Виртуализация позволяет вам запускать все те же роли на одной физической машине при изоляции серверов друг от друга, так как они будут работать на различных виртуальных машинах.
В Microsoft создана роль Hyper-V для предотвращения неавторизированного взаимодействия между индивидуальными ВМ. Каждая ВМ запускается в отдельном рабочем процессе в родительском разделе, и они запускаются с ограниченными привилегиями в пользовательском режиме. Это помогает защитить родительский раздел и гипервизора. Другие механизмы обеспечения безопасности путем изолирования ВМ включают в себя отдельные виртуальные устройства, отдельную шину ВМ от каждой ВМ к родительскому разделу и никакого разделения памяти между ВМ. Более подробно о том, как все это работает, вы можете прочитать в дискуссии презентации Джефа Вулси (Jeff Woolsey), старшего менеджера программ по Hyper-V в Microsoft: blog.scottlowe.org
ЗАМЕЧАНИЕ:Важно отметить, что если операционные системы ВМ передают содержимое между собой и разделяют ссылки на локальные ресурсы, это создает уязвимость и нейтрализует некоторые эффекты изоляции при использовании ВМ.
Honeypots и Honeynets
Honeypots – это компьютеры, настроенные на приманивание хакеров, а honeynet – это целая сеть, состоящая из honeypots. Honeynet извне выглядит как производственная сеть. Ее цель тройная:
- Перенаправить атакующих от ваших реальных производственных сетей
- Предупредить вас заранее о типах предпринимаемых атак, чтобы у вас было время на подготовку защиты ваших реальных сетей и систем
- При возможности собрать информацию для идентификации атакующих
Honeypots и honeynets могут создаваться с помощью физических машин, конечно же, но это достаточно дорого и сложно в управлении. Пользуясь технологией виртуализации, большая honeynet может быть создана на единственной физической машине, что гораздо проще и дешевле. Виртуальные компьютеры могут бродить по сети с целью обнаружения вредоносного ПО и вирусов, от которых ваше ПО не защищено.
ЗАМЕЧАНИЕ:Наилучшей с точки зрения безопасности практикой является запуск honeypots, предназначенных для предотвращения атак через Интернет, на специальной физической машине, не соединенной с вашей реальной производственной сетью, либо отделенная от ней брандмауэром. Honeynet чаще всего располагается в ДМЗ или в периметрической сети. Другим подходом является помещение honeypot во внутреннюю сеть для выявления атак от инсайдеров.
Поскольку в настоящее время уже много организаций, которые запускают производственные серверы консолидированно на ВМ, виртуальная среда уже не служит сигналом для атакующих, означающим что-либо иное кроме подлинной производственной сети. Рики Мегалаес (Ricky Magalhaes) более подробно описал виртуальные honeynets в следующей статье: Understanding Virtual Honeynets
Итоги
Правильно развернутые технологии виртуализации могут обеспечить дополнительный уровень безопасности машинам в вашей сети. Для увеличения надежности к операционным системам и приложениям, запускаемым на ВМ, должны применяться те же меры безопасности, как и на индивидуальных физических машинах. Виртуализация должна быть всего лишь одним из многих инструментов в вашем арсенале надежности.