Введення
Всі ми знаємо, що віртуалізація може врятувати компаніям гроші і спростити управління ІТ-ресурсами, але не можна її використовувати також для збільшення надійності наших систем і мереж? Від створення віртуальних honeypots і honeynets до використання Hyper-V для ізолювання серверних ролей і до безперервної гри в пісочниці» віртуальних додатків з останньою версією VMWare Workstation відповідь позитивна. У цій статті досліджуються способи використання засобів віртуалізації для збільшення надійності вашого середовища Windows.
Безпека віртуалізації і віртуалізація для безпеки

Ми багато чуємо про питання безпеки, що виникають у віртуальних середовищах, і більшість обговорень концентруються на тому, як захистити ВМ. Те, що технологія віртуалізації поєднує в собі деякі ризики для безпеки факт, але при правильній реалізації віртуалізація може також забезпечити багато переваги для безпеки.

Контроль істотний елемент у системах безпеки, включаючи як системи всередині організації, так і ті, які отримують доступ до мережевих ресурсів ззовні (наприклад, портативні комп’ютери та мобільні пристрої, використовувані віддаленими користувачами). Віртуалізація програми забезпечує вас способом задіяти централізований контроль над додатками, до яких отримують доступ кінцеві користувачі, а віртуалізація робочого столу дозволяє вам створювати безпечні і ізольовані комп’ютерні середовища для потенційно шкідливих програм, веб-сайтів і т. д.

Централізація даних спрощує забезпечення надійності інформації, а технологія віртуалізації на основі сервера означає, що важливі дані не зберігаються на персональних комп’ютерах або, що ще важливіше, на портативних комп’ютерах, які легко можуть бути втрачені або вкрадені.
«Гра в пісочниці»

«Пісочниця» — це ізольована середа, яка використовується для безпечного запуску програм, які можуть представляти загрозу операційній системі, інших програм та/або мережі. Віртуальна машина не може отримувати прямий доступ до ресурсів хоста, що робить її відмінною «пісочницею». Якщо у вас є нестабільний додаток або має дірки в безпеці, або просто неперевірене і невідоме, ви можете встановити його у віртуальній машині, так що навіть якщо воно дає збої або стає дискредитованим, це не впливає на роботу іншої частини системи.

Оскільки веб-браузер часто є каналом, по якому йдуть шкідливі програми і атаки, хорошою практикою з точки зору безпеки буде запуск браузера у віртуальній машині. Ви, можливо, захочете запускати інші програми, пов’язані з Інтернетом (наприклад, поштовий клієнт, програми чату і файлообмінні програми P2P) у віртуальній машині. ВМ має доступ до Інтернету, але не до локальної мережі компанії. Це захищає вашу головну операційну систему та бізнес-програми, які мають доступ до локальних ресурсів, від будь-яких атак на ВМ, що йдуть через Інтернет-з’єднання.

Іншою перевагою є простота, з якою ви можете відновлювати ВМ у випадку дискредитації. З ВМ передбачає моментальні знімки машин в певні моменти часу, і повернутися до часу, коли дискредитації ще не сталося, дуже просто.
Безперервні віртуальні програми та можливості роботи з робочим столом з VMWare Workstation 6.5

В останній версії VMWare Workstation (v6.5) забезпечується глибока інтеграція робочого столу за допомогою властивості «Unity», яке дозволяє вам переглядати індивідуальні програми з ВМ на робочому столі хоста, так, як ніби вони були запущені в ОС хоста. Для користувачів це означає набагато більш плавну інтеграцію застосунків і, таким чином, набагато більш приємну роботу. Оскільки ви можете перетягувати і залишати чи копіювати і вставляти між ВМ і хостом, користувач може навіть не помітити, що додаток працює в ВМ. Це означає, що тепер немає «бар’єрного фактору» при грі в пісочниці», як, наприклад, у випадку з веб-браузером в ВМ.

Це нове ПЗ також дозволяє вам налаштовувати віртуальну машину так, що вона може охопити декілька моніторів. Це особливо корисно, коли вам потрібно запустити кілька додатків одночасно в ВМ. Або ви можете встановити кілька ВМ, так щоб кожна відображала свій монітор, спрощуючи відстеження того, з яким саме віртуальним комп’ютером ви працюєте в певний момент. Ви також можете запускати ВМ у фоновому режимі, не використовуючи користувальницький інтерфейс Workstation. Детальніше про нові функції VMWare Workstation 6.5 ви можете прочитати тут: VMWare Workstation 6.5
Ізоляція сервера

Консолідація сервера це основна причина, по якій у багатьох бізнесах використовується віртуалізація. Звичайно, ви можете запустити кілька серверних ролей на одній машині без віртуалізації; ваш контролер домену може також функціонувати в якості сервера DNS, DHCP-сервера, сервера RRAS і т. д. Але при використанні декількох ролей на одному сервері (особливо якщо мова йде про контролері домену) ви стикаєтеся зі значними ризиками надійності. Віртуалізація дозволяє вам запускати все ті ж ролі на одній фізичній машині при ізоляції серверів один від одного, так як вони будуть працювати на різних віртуальних машинах.

У Microsoft створено роль Hyper-V для запобігання неавторизованого взаємодії між індивідуальними ВМ. Кожна ВМ запускається в окремому робочому процесі в батьківському розділі, і вони запускаються з обмеженими привілеями в режимі користувача. Це допомагає захистити батьківський розділ і гіпервізора. Інші механізми забезпечення безпеки шляхом ізолювання ВМ включають в себе окремі віртуальні пристрої, окрему шину ВМ від кожної ВМ до батьківського розділу і ніякого розподілу пам’яті між ВМ. Більш докладно про те, як все це працює, ви можете прочитати в дискусії презентації Джефа Вулсі (Jeff Woolsey), старшого менеджера програм з Hyper-V в Microsoft: blog.scottlowe.org

ЗАУВАЖЕННЯ: Важливо відзначити, що якщо операційні системи ВМ передають вміст між собою і поділяють посилання на локальні ресурси, це створює вразливість і нейтралізує деякі ефекти ізоляції при використанні ВМ.
Honeypots і Honeynets

Honeypots це комп’ютери, налаштовані на принаджування хакерів, а honeynet це ціла мережа, що складається з honeypots. Honeynet ззовні виглядає як виробнича мережа. Її мета потрійна:

* Перенаправити атакуючих від ваших реальних виробничих мереж
* Попередити вас заздалегідь про типи вживаються атак, щоб у вас був час на підготовку захисту ваших реальних мереж і систем
* При можливості зібрати інформацію для ідентифікації атакуючих

Honeypots і honeynets можуть створюватися з допомогою фізичних машин, звичайно ж, але це досить дорого і складно в управлінні. Користуючись технологією віртуалізації, велика honeynet може бути створена на єдиній фізичній машині, що набагато простіше і дешевше. Віртуальні комп’ютери можуть бродити по мережі з метою виявлення шкідливого ПЗ та вірусів, від яких ваше не захищено.

ЗАУВАЖЕННЯ: Найкращою з точки зору безпеки практикою є запуск honeypots, призначених для запобігання атак через Інтернет, на спеціальній фізичній машині, не поєднаною з вашої реальної виробничої мережею, або відокремлена від неї брандмауером. Honeynet найчастіше розташовується в ДМЗ або в периметральною мережі. Іншим підходом є приміщення honeypot у внутрішню мережу для виявлення атак від інсайдерів.

Оскільки в даний час вже багато організацій, які запускають виробничі сервери консолідовано на ВМ, віртуальне середовище вже не служить сигналом для атакуючих, що означає що-небудь інше, крім справжньої виробничої мережі. Рікі Мегалаес (Ricky Magalhaes) більш докладно описав віртуальні honeynets в наступній статті: Understanding Virtual Honeynets
Підсумки

Правильно розгорнуті технології віртуалізації можуть забезпечити додатковий рівень безпеки машин в мережі. Для збільшення надійності до операційних систем і додатків, що запускаються на ВМ, повинні застосовуватися ті ж заходи безпеки, як і на індивідуальних фізичних машинах. Віртуалізація повинна бути лише одним з багатьох інструментів у вашому арсеналі надійності.