我們都知道,虛擬化能夠?yàn)槠髽I(yè)節(jié)省資金和簡化IT資源管理。但是,虛擬化還能夠用來增強(qiáng)我們的系統(tǒng)和網(wǎng)絡(luò)的安全嗎?從虛擬蜜罐和虛擬蜜網(wǎng)的創(chuàng)建到使用微軟的Hyper-V技術(shù)隔離服務(wù)器的任務(wù)、使用最新版本VMWare Workstation無縫地使用沙箱技術(shù)保護(hù)應(yīng)用程序等許多技術(shù)方面看,答案是肯定的。本文將介紹一些使用虛擬化工具提高Windows環(huán)境安全的一些方法。
虛擬化安全與為安全實(shí)施的虛擬化
我們聽說過虛擬化環(huán)境產(chǎn)生的許多安全問題。大多數(shù)問題似乎都集中在如何保護(hù)虛擬機(jī)的安全上。虛擬化技術(shù)確實(shí)能夠引起一些安全問題。然而,當(dāng)正確使用虛擬化技術(shù)時(shí),虛擬化還能夠提供與安全有關(guān)的好處。
控制是保證系統(tǒng)安全的重要因素,它包括機(jī)構(gòu)內(nèi)部的控制和從外部訪問你的網(wǎng)絡(luò)資源的那些控制(如遠(yuǎn)程用戶使用的便攜式計(jì)算機(jī)和移動(dòng)設(shè)備)。應(yīng)用程序虛擬化為你提供了集中控制最終用戶訪問的方法。桌面虛擬化允許你為潛在的有害的應(yīng)用程序和網(wǎng)站創(chuàng)建安全的和隔離的計(jì)算環(huán)境。
數(shù)據(jù)集中化使保護(hù)數(shù)據(jù)的安全更加容易。基于服務(wù)器的虛擬化技術(shù)意味著敏感的數(shù)據(jù)不存儲在臺式電腦或者更容易丟失的筆記本電腦中。這是非常重要的。
沙箱技術(shù)
沙箱是一種隔離的技術(shù),能夠用來運(yùn)行一些可能對操作系統(tǒng)、其它應(yīng)用程序或者網(wǎng)絡(luò)構(gòu)成威脅的應(yīng)用程序。虛擬機(jī)不能直接訪問主機(jī)資源。因此,它制作了這個(gè)完美的沙箱。如果你的一個(gè)應(yīng)用程序是不穩(wěn)定的,有安全漏洞的,或者是沒有經(jīng)過測試和未知的,你可以把這個(gè)應(yīng)用程序安裝在虛擬機(jī)中,這樣,如果這個(gè)應(yīng)用程序崩潰或者被攻破,它不會影響到主機(jī)系統(tǒng)的其它部分。
因?yàn)榫W(wǎng)絡(luò)瀏覽器通常是惡意軟件和攻擊的通道,一個(gè)好的安全做法是在虛擬機(jī)上運(yùn)行瀏覽器軟件。你也可以在虛擬機(jī)上運(yùn)行其它互聯(lián)網(wǎng)應(yīng)用程序,如電子郵件客戶端軟件、聊天軟件和P2P文件共享程序。這個(gè)虛擬機(jī)可以訪問互聯(lián)網(wǎng),但是不能訪問企業(yè)的局域網(wǎng)。這可以保護(hù)訪問本地資源的主機(jī)操作系統(tǒng)和商業(yè)應(yīng)用程序不會受到通過互聯(lián)網(wǎng)連接接入的虛擬機(jī)的攻擊。
另一個(gè)好處是如果虛擬機(jī)被攻破,你能夠很容易恢復(fù)這個(gè)虛擬機(jī)。虛擬機(jī)軟件提供了在一個(gè)特定時(shí)間點(diǎn)上對虛擬機(jī)進(jìn)行“快照”的功能。在這個(gè)虛擬機(jī)被攻破的時(shí)候,退回到原來“快照”時(shí)的狀態(tài)是很容易的。
用VMWare Workstation 6.5實(shí)現(xiàn)無縫的虛擬應(yīng)用程序和豐富的桌面體驗(yàn)
最新版本的VMWare Workstation 6.5用“Unity”功能提供了迄今為止最集成的桌面體驗(yàn)。這個(gè)功能允許你從你的主機(jī)桌面的虛擬機(jī)查看單個(gè)的應(yīng)用程序,就像這些應(yīng)用程序在主機(jī)操作系統(tǒng)上運(yùn)行一樣。對于用戶來說,這將使虛擬應(yīng)用程序更無縫地集成在一起,從而提供更滿意的用戶體驗(yàn)。由于你能夠在虛擬機(jī)和主機(jī)之間進(jìn)行拖放或者拷貝和粘貼操作,用戶幾乎不知道這個(gè)應(yīng)用程序是在虛擬機(jī)上運(yùn)行的。在對虛擬機(jī)中的網(wǎng)絡(luò)瀏覽器等應(yīng)用程序應(yīng)用沙箱技術(shù)時(shí),不會再出現(xiàn)任何“麻煩因素”。
這個(gè)新的軟件還能夠讓你建立一個(gè)虛擬機(jī),以便擴(kuò)展到多個(gè)監(jiān)視器。這個(gè)功能在你需要在虛擬機(jī)中并列地運(yùn)行多個(gè)應(yīng)用程序時(shí)是有用的。你還可以建立不同的虛擬機(jī)以便在不同的顯示器上顯示每一個(gè)應(yīng)用程序,讓你更方便地跟蹤你在指定的時(shí)間正在哪一個(gè)虛擬計(jì)算機(jī)上工作。你還可以在后臺運(yùn)行虛擬機(jī),不用使用工作站用戶界面。
服務(wù)器隔離
服務(wù)器整合是許多企業(yè)使用虛擬化技術(shù)的主要目的。當(dāng)然,不使用虛擬化技術(shù)你也可以在一臺服務(wù)器上執(zhí)行多個(gè)服務(wù)器任務(wù)。你的重要控制器可以作為DNS服務(wù)器、DHCP服務(wù)器、RRAS服務(wù)器等等。但是,一臺服務(wù)器執(zhí)行多個(gè)任務(wù),特別是在一個(gè)域名控制器上執(zhí)行多個(gè)任務(wù),會有巨大的安全風(fēng)險(xiǎn)。虛擬化能夠讓你在同一個(gè)物理服務(wù)器上運(yùn)行上述同樣的任務(wù),同時(shí)讓服務(wù)器相互隔離,因?yàn)樗麄冊谶\(yùn)行不同的虛擬機(jī)。
微軟設(shè)計(jì)了Hyper-V技術(shù)旨在防止單個(gè)虛擬機(jī)之間非授權(quán)的通訊。每一個(gè)虛擬機(jī)都在母分區(qū)中的一個(gè)單個(gè)的工作流程中運(yùn)行,并且以用戶模式的有限權(quán)限運(yùn)行。這有助保護(hù)母分區(qū)和管理程序。其它旨在隔離虛擬機(jī)的安全機(jī)制包括單獨(dú)的虛擬設(shè)備、每一個(gè)虛擬機(jī)連接到母分區(qū)的虛擬機(jī)總線和虛擬機(jī)之間不共享內(nèi)存。
總結(jié)
適當(dāng)?shù)厥褂锰摂M化技術(shù)能夠?yàn)槟愕木W(wǎng)絡(luò)上的機(jī)器提供額外的一層安全保護(hù)。對于最佳安全做法來說,在虛擬機(jī)上運(yùn)行的操作系統(tǒng)和應(yīng)用程序應(yīng)該像在物理服務(wù)器運(yùn)行一樣得到同樣的安全保護(hù)。虛擬化應(yīng)該僅僅是你的安全武器庫中的許多工具之一。
京公網(wǎng)安備 11010502049343號