我们都知道虚拟化技术可以帮助企业节省开支,简化IT资源管理,但是我们能够利用虚拟化技术来加强系统和网络的安全性吗?随着虚拟蜜罐(honeypot)和蜜网(honeynet)技术的出现,到使用Hyper-V虚拟化技术分配服务器角色,再到虚拟应用程序的无缝沙盒(sandboxing)技术以及最新版本VMWare工作站的发布,答案是肯定的。本文将探讨如何使用虚拟化工具提高Windows环境的安全性等问题。
虚拟化安全vs安全的虚拟化
经常会有人谈论虚拟环境中出现的安全问题,而大部分讨论都是围绕如何保护虚拟机问题的。诚然,虚拟化技术可能带来某些安全风险,然而,如果用得适当,虚拟化技术也能够帮助提高安全性。
控制力是保护系统的一个重要因素,包括对企业内部人员的控制和访问公司网络资源的外部人员的控制(例如远程用户使用便携式电脑和移动设备访问网络)。虚拟化技术能够帮助你集中控制最终用户所访问的应用程序,而桌面虚拟技术则能够为具有潜在危害的应用程序、网站等创建安全、孤立的计算机环境。
数据集中化管理能够确保数据的安全性,而基于服务器的虚拟化技术能够确保重要数据不被存储在台式机或者很容易遗失或者被偷窃的笔记本电脑中。
沙盒技术
沙盒是指器不能直接访问主一种相对孤立的环境,能够安全地运行那些可能对操作系统、其他应用程序或网络造成威胁的程序。虚拟机机资源,所以使沙盒技术十分安全。如果系统中存在不稳定的应用程序、有安全漏洞应用程序或者未知应用程序,你可以将这样的应用程序安装在虚拟机中,这样的话,当该应用程序出现问题时,就不会对主机系统的其他部分造成影响。
由于网络浏览器经常会成为恶意软件和病毒攻击的对象,我们可以将浏览器在虚拟机中运行,当然你也可以在虚拟机中运行其他互联网相关的程序(如电子邮件客户端、聊天程序和P2P文件共享程序等)。虚拟机能够访问互联网,但是不能访问公司的局域网,这能够帮助你保护主机操作系统以及访问本地资源的商业程序免受互联网中的攻击。
另一个好处就是,当虚拟机受到攻击时能够很简便地恢复,VM软件会在特定的时间点对机器进行“快照”,因此能够很快速地恢复到攻击前的状态。
无缝虚拟应用软件和丰富的VMWare Workstation 6.5实战经验
最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能,并且其“Unity”功能能够让你在主机桌面中查看在主机操作系统的应用程序(来自虚拟机)。对用户而言,这意味着完全的无缝虚拟应用程序整合,操作过程更加方便。用户能够轻松在虚拟机和主机间进行拖放或者粘贴操作,根本不会感觉应用程序是在虚拟机中运行,这就是说对虚拟机中的应用程最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能,并且其“Unity”功能能够让你在主机桌面中查看在主机操序(如网络浏览器)实施沙盒技术时不再会感觉到任何障碍。
这种新软件还能够帮助用户安装虚拟机以便跨越多个监控器进行操作,这很重要,尤其是当你需要在虚拟机中同事运行几个应用程序时。或者你也可以安装多个虚拟机在不同的监控器上显示,这样就更容易追踪用户在特定时间所操作的虚拟计算机。另外也可以在后台运行虚拟机,而不使用workstation用户界面。
服务器分离
服务器整合是很多企业使用虚拟化的主要目的,当然你也可以不使用虚拟化而在一台机器上运行多个服务器角色,你的域控制机还可以作为DNS服务器、DHCP服务器、RRAS服务器等。但是在一台服务器上运行多个角色,特别是在域控制器上,会造成重大的安全风险。虚拟化可以让你在同一物理机上运行所有这些相同的角色,并将服务器分离,因为他们是在单独的虚拟机上运行。
微软公司发布的Hyper-V虚拟软件能够防止VM间的未经授权的通信,且每个虚拟机在分离出来的单个工作进程中运行,并且在用户模式中仅有有限的权限,这能够保证主服务器和程序的安全性。其他能够分离虚拟机的安全机制包括分离虚拟设备,一种从每个虚拟机到主服务器的独立的VMBus,并且VM之间没有共享空间。
注意:
值得注意的是,如果VM操作系统在VM之间传输内容或者在局域网内共享磁盘,就会带来很大的安全风险,并且会动摇用户使用虚拟技术的决心。
虚拟蜜罐技术和蜜网技术
蜜罐是指用来引诱攻击者的计算机,而蜜网则是指包含蜜罐的整个网络,网络外部人员会觉得蜜网是某种生产网络,其目的包括三方面:
·转移攻击者的注意力,保护真正的生产网络;
·让你对试图攻击网络的攻击类型进行预警,这样就有时间专门研究如何对付这些攻击,以防攻击真正的网络和系统;
·收集可以用于鉴定攻击者的信息。
蜜罐和蜜网可以使用物理机器构建,但是价格将会很昂贵,并且难以管理。有了虚拟技术,就能在一台物理机上建立大型的蜜网,而且成本很低。虚拟桌面还可以找出网络中防病毒软件没有防范到病毒和恶意软件。
注意:
作为最佳安全方案,能够转移互联网的攻击的蜜网应该在专用物理机上运行,这样就不会连接到真正的生产网络,或者与真正网络间有防火墙。蜜网通常被置于DMZ或者外围网络中,另一种方法就是将蜜罐置于内部网络中以检测来自内部的攻击。
由于很多公司现在都将其生产服务器放在VM上运行,虚拟环境不再作为引诱攻击者的信号,而是真正的生产网络。
总结
适当部署虚拟技术可以为公司网络提供多一层的安全保障,为了实现最佳安全做法,应当确保对运行在虚拟机上的操作系统和应用程序实施的保护与对运行在物理机中的操作系统和应用程序实施的保护是一样,总之,虚拟化技术只能作为安全工具库的一种工具,而不是全部。