監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

如何利用虛擬化技術(shù)提高安全性

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件

我們都知道虛擬化技術(shù)可以幫助企業(yè)節(jié)省開支,簡化IT資源管理,但是我們能夠利用虛擬化技術(shù)來加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)的安全性嗎?隨著虛擬蜜罐(honeypot)和蜜網(wǎng)(honeynet)技術(shù)的出現(xiàn),到使用Hyper-V虛擬化技術(shù)分配服務(wù)器角色,再到虛擬應(yīng)用程序的無縫沙盒(sandboxing)技術(shù)以及最新版本VMWare工作站的發(fā)布,答案是肯定的。本文將探討如何使用虛擬化工具提高Windows環(huán)境的安全性等問題。

虛擬化安全vs安全的虛擬化

經(jīng)常會(huì)有人談?wù)撎摂M環(huán)境中出現(xiàn)的安全問題,而大部分討論都是圍繞如何保護(hù)虛擬機(jī)問題的。誠然,虛擬化技術(shù)可能帶來某些安全風(fēng)險(xiǎn),然而,如果用得適當(dāng),虛擬化技術(shù)也能夠幫助提高安全性。

控制力是保護(hù)系統(tǒng)的一個(gè)重要因素,包括對(duì)企業(yè)內(nèi)部人員的控制和訪問公司網(wǎng)絡(luò)資源的外部人員的控制(例如遠(yuǎn)程用戶使用便攜式電腦和移動(dòng)設(shè)備訪問網(wǎng)絡(luò))。虛擬化技術(shù)能夠幫助你集中控制最終用戶所訪問的應(yīng)用程序,而桌面虛擬技術(shù)則能夠?yàn)榫哂袧撛谖:Φ膽?yīng)用程序、網(wǎng)站等創(chuàng)建安全、孤立的計(jì)算機(jī)環(huán)境。

數(shù)據(jù)集中化管理能夠確保數(shù)據(jù)的安全性,而基于服務(wù)器的虛擬化技術(shù)能夠確保重要數(shù)據(jù)不被存儲(chǔ)在臺(tái)式機(jī)或者很容易遺失或者被偷竊的筆記本電腦中。

沙盒技術(shù)

沙盒是指器不能直接訪問主一種相對(duì)孤立的環(huán)境,能夠安全地運(yùn)行那些可能對(duì)操作系統(tǒng)、其他應(yīng)用程序或網(wǎng)絡(luò)造成威脅的程序。虛擬機(jī)機(jī)資源,所以使沙盒技術(shù)十分安全。如果系統(tǒng)中存在不穩(wěn)定的應(yīng)用程序、有安全漏洞應(yīng)用程序或者未知應(yīng)用程序,你可以將這樣的應(yīng)用程序安裝在虛擬機(jī)中,這樣的話,當(dāng)該應(yīng)用程序出現(xiàn)問題時(shí),就不會(huì)對(duì)主機(jī)系統(tǒng)的其他部分造成影響。

由于網(wǎng)絡(luò)瀏覽器經(jīng)常會(huì)成為惡意軟件和病毒攻擊的對(duì)象,我們可以將瀏覽器在虛擬機(jī)中運(yùn)行,當(dāng)然你也可以在虛擬機(jī)中運(yùn)行其他互聯(lián)網(wǎng)相關(guān)的程序(如電子郵件客戶端、聊天程序和P2P文件共享程序等)。虛擬機(jī)能夠訪問互聯(lián)網(wǎng),但是不能訪問公司的局域網(wǎng),這能夠幫助你保護(hù)主機(jī)操作系統(tǒng)以及訪問本地資源的商業(yè)程序免受互聯(lián)網(wǎng)中的攻擊。

另一個(gè)好處就是,當(dāng)虛擬機(jī)受到攻擊時(shí)能夠很簡便地恢復(fù),VM軟件會(huì)在特定的時(shí)間點(diǎn)對(duì)機(jī)器進(jìn)行“快照”,因此能夠很快速地恢復(fù)到攻擊前的狀態(tài)。

無縫虛擬應(yīng)用軟件和豐富的VMWare Workstation 6.5實(shí)戰(zhàn)經(jīng)驗(yàn)

最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能,并且其“Unity”功能能夠讓你在主機(jī)桌面中查看在主機(jī)操作系統(tǒng)的應(yīng)用程序(來自虛擬機(jī))。對(duì)用戶而言,這意味著完全的無縫虛擬應(yīng)用程序整合,操作過程更加方便。用戶能夠輕松在虛擬機(jī)和主機(jī)間進(jìn)行拖放或者粘貼操作,根本不會(huì)感覺應(yīng)用程序是在虛擬機(jī)中運(yùn)行,這就是說對(duì)虛擬機(jī)中的應(yīng)用程最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能,并且其“Unity”功能能夠讓你在主機(jī)桌面中查看在主機(jī)操序(如網(wǎng)絡(luò)瀏覽器)實(shí)施沙盒技術(shù)時(shí)不再會(huì)感覺到任何障礙。

這種新軟件還能夠幫助用戶安裝虛擬機(jī)以便跨越多個(gè)監(jiān)控器進(jìn)行操作,這很重要,尤其是當(dāng)你需要在虛擬機(jī)中同事運(yùn)行幾個(gè)應(yīng)用程序時(shí)?;蛘吣阋部梢园惭b多個(gè)虛擬機(jī)在不同的監(jiān)控器上顯示,這樣就更容易追蹤用戶在特定時(shí)間所操作的虛擬計(jì)算機(jī)。另外也可以在后臺(tái)運(yùn)行虛擬機(jī),而不使用workstation用戶界面。

服務(wù)器分離

服務(wù)器整合是很多企業(yè)使用虛擬化的主要目的,當(dāng)然你也可以不使用虛擬化而在一臺(tái)機(jī)器上運(yùn)行多個(gè)服務(wù)器角色,你的域控制機(jī)還可以作為DNS服務(wù)器、DHCP服務(wù)器、RRAS服務(wù)器等。但是在一臺(tái)服務(wù)器上運(yùn)行多個(gè)角色,特別是在域控制器上,會(huì)造成重大的安全風(fēng)險(xiǎn)。虛擬化可以讓你在同一物理機(jī)上運(yùn)行所有這些相同的角色,并將服務(wù)器分離,因?yàn)樗麄兪窃趩为?dú)的虛擬機(jī)上運(yùn)行。

微軟公司發(fā)布的Hyper-V虛擬軟件能夠防止VM間的未經(jīng)授權(quán)的通信,且每個(gè)虛擬機(jī)在分離出來的單個(gè)工作進(jìn)程中運(yùn)行,并且在用戶模式中僅有有限的權(quán)限,這能夠保證主服務(wù)器和程序的安全性。其他能夠分離虛擬機(jī)的安全機(jī)制包括分離虛擬設(shè)備,一種從每個(gè)虛擬機(jī)到主服務(wù)器的獨(dú)立的VMBus,并且VM之間沒有共享空間。

注意:

值得注意的是,如果VM操作系統(tǒng)在VM之間傳輸內(nèi)容或者在局域網(wǎng)內(nèi)共享磁盤,就會(huì)帶來很大的安全風(fēng)險(xiǎn),并且會(huì)動(dòng)搖用戶使用虛擬技術(shù)的決心。

虛擬蜜罐技術(shù)和蜜網(wǎng)技術(shù)

蜜罐是指用來引誘攻擊者的計(jì)算機(jī),而蜜網(wǎng)則是指包含蜜罐的整個(gè)網(wǎng)絡(luò),網(wǎng)絡(luò)外部人員會(huì)覺得蜜網(wǎng)是某種生產(chǎn)網(wǎng)絡(luò),其目的包括三方面:

·轉(zhuǎn)移攻擊者的注意力,保護(hù)真正的生產(chǎn)網(wǎng)絡(luò);

·讓你對(duì)試圖攻擊網(wǎng)絡(luò)的攻擊類型進(jìn)行預(yù)警,這樣就有時(shí)間專門研究如何對(duì)付這些攻擊,以防攻擊真正的網(wǎng)絡(luò)和系統(tǒng);

·收集可以用于鑒定攻擊者的信息。

蜜罐和蜜網(wǎng)可以使用物理機(jī)器構(gòu)建,但是價(jià)格將會(huì)很昂貴,并且難以管理。有了虛擬技術(shù),就能在一臺(tái)物理機(jī)上建立大型的蜜網(wǎng),而且成本很低。虛擬桌面還可以找出網(wǎng)絡(luò)中防病毒軟件沒有防范到病毒和惡意軟件。

注意:

作為最佳安全方案,能夠轉(zhuǎn)移互聯(lián)網(wǎng)的攻擊的蜜網(wǎng)應(yīng)該在專用物理機(jī)上運(yùn)行,這樣就不會(huì)連接到真正的生產(chǎn)網(wǎng)絡(luò),或者與真正網(wǎng)絡(luò)間有防火墻。蜜網(wǎng)通常被置于DMZ或者外圍網(wǎng)絡(luò)中,另一種方法就是將蜜罐置于內(nèi)部網(wǎng)絡(luò)中以檢測來自內(nèi)部的攻擊。

由于很多公司現(xiàn)在都將其生產(chǎn)服務(wù)器放在VM上運(yùn)行,虛擬環(huán)境不再作為引誘攻擊者的信號(hào),而是真正的生產(chǎn)網(wǎng)絡(luò)。

總結(jié)

適當(dāng)部署虛擬技術(shù)可以為公司網(wǎng)絡(luò)提供多一層的安全保障,為了實(shí)現(xiàn)最佳安全做法,應(yīng)當(dāng)確保對(duì)運(yùn)行在虛擬機(jī)上的操作系統(tǒng)和應(yīng)用程序?qū)嵤┑谋Wo(hù)與對(duì)運(yùn)行在物理機(jī)中的操作系統(tǒng)和應(yīng)用程序?qū)嵤┑谋Wo(hù)是一樣,總之,虛擬化技術(shù)只能作為安全工具庫的一種工具,而不是全部。(IT專家網(wǎng))

 

發(fā)布:2007-04-21 13:54    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
哈爾濱OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普哈爾濱OA軟件行業(yè)資訊其他應(yīng)用

哈爾濱OA軟件 哈爾濱OA新聞動(dòng)態(tài) 哈爾濱OA管理信息化 哈爾濱OA快博 哈爾濱OA軟件行業(yè)資訊 哈爾濱軟件開發(fā)公司 哈爾濱門禁系統(tǒng) 哈爾濱物業(yè)管理軟件 哈爾濱倉庫管理軟件 哈爾濱餐飲管理軟件 哈爾濱網(wǎng)站建設(shè)公司