如何正确使用虚拟化技术保护系统安全

我们都知道,虚拟化能够为企业节省资金和简化IT资源管理。但是,虚拟化还能够用来增强我们的系统和网络的安全吗?从虚拟蜜罐和虚拟蜜网的创建到使用微软的Hyper-V技术隔离服务器的任务、使用最新版本VMWare Workstation无缝地使用沙箱技术保护应用程序等许多技术方面看,答案是肯定的。本文将介绍一些使用虚拟化工具提高Windows环境安全的一些方法。

虚拟化安全与为安全实施的虚拟化

我们听说过虚拟化环境产生的许多安全问题。大多数问题似乎都集中在如何保护虚拟机的安全上。虚拟化技术确实能够引起一些安全问题。然而,当正确使用虚拟化技术时,虚拟化还能够提供与安全有关的好处。

控制是保证系统安全的重要因素,它包括机构内部的控制和从外部访问你的网络资源的那些控制(如远程用户使用的便携式计算机和移动设备)。应用程序虚拟化为你提供了集中控制最终用户访问的方法。桌面虚拟化允许你为潜在的有害的应用程序和网站创建安全的和隔离的计算环境。

数据集中化使保护数据的安全更加容易。基于服务器的虚拟化技术意味着敏感的数据不存储在台式电脑或者更容易丢失的笔记本电脑中。这是非常重要的。

沙箱技术

沙箱是一种隔离的技术,能够用来运行一些可能对操作系统、其它应用程序或者网络构成威胁的应用程序。虚拟机不能直接访问主机资源。因此,它制作了这个完美的沙箱。如果你的一个应用程序是不稳定的,有安全漏洞的,或者是没有经过测试和未知的,你可以把这个应用程序安装在虚拟机中,这样,如果这个应用程序崩溃或者被攻破,它不会影响到主机系统的其它部分。

因为网络浏览器通常是恶意软件和攻击的通道,一个好的安全做法是在虚拟机上运行浏览器软件。你也可以在虚拟机上运行其它互联网应用程序,如电子邮件客户端软件、聊天软件和P2P文件共享程序。这个虚拟机可以访问互联网,但是不能访问企业的局域网。这可以保护访问本地资源的主机操作系统和商业应用程序不会受到通过互联网连接接入的虚拟机的攻击。

另一个好处是如果虚拟机被攻破,你能够很容易恢复这个虚拟机。虚拟机软件提供了在一个特定时间点上对虚拟机进行“快照”的功能。在这个虚拟机被攻破的时候,退回到原来“快照”时的状态是很容易的。

用VMWare Workstation 6.5实现无缝的虚拟应用程序和丰富的桌面体验

最新版本的VMWare Workstation 6.5用“Unity”功能提供了迄今为止最集成的桌面体验。这个功能允许你从你的主机桌面的虚拟机查看单个的应用程序,就像这些应用程序在主机操作系统上运行一样。对于用户来说,这将使虚拟应用程序更无缝地集成在一起,从而提供更满意的用户体验。由于你能够在虚拟机和主机之间进行拖放或者拷贝和粘贴操作,用户几乎不知道这个应用程序是在虚拟机上运行的。在对虚拟机中的网络浏览器等应用程序应用沙箱技术时,不会再出现任何“麻烦因素”。

这个新的软件还能够让你建立一个虚拟机,以便扩展到多个监视器。这个功能在你需要在虚拟机中并列地运行多个应用程序时是有用的。你还可以建立不同的虚拟机以便在不同的显示器上显示每一个应用程序,让你更方便地跟踪你在指定的时间正在哪一个虚拟计算机上工作。你还可以在后台运行虚拟机,不用使用工作站用户界面。

服务器隔离

服务器整合是许多企业使用虚拟化技术的主要目的。当然,不使用虚拟化技术你也可以在一台服务器上执行多个服务器任务。你的重要控制器可以作为DNS服务器、DHCP服务器、RRAS服务器等等。但是,一台服务器执行多个任务,特别是在一个域名控制器上执行多个任务,会有巨大的安全风险。虚拟化能够让你在同一个物理服务器上运行上述同样的任务,同时让服务器相互隔离,因为他们在运行不同的虚拟机。

微软设计了Hyper-V技术旨在防止单个虚拟机之间非授权的通讯。每一个虚拟机都在母分区中的一个单个的工作流程中运行,并且以用户模式的有限权限运行。这有助保护母分区和管理程序。其它旨在隔离虚拟机的安全机制包括单独的虚拟设备、每一个虚拟机连接到母分区的虚拟机总线和虚拟机之间不共享内存。

总结

适当地使用虚拟化技术能够为你的网络上的机器提供额外的一层安全保护。对于最佳安全做法来说,在虚拟机上运行的操作系统和应用程序应该像在物理服务器运行一样得到同样的安全保护。虚拟化应该仅仅是你的安全武器库中的许多工具之一。