10 būdų, kaip virtualizacija gali pagerinti saugumą

Virtualizacija yra tam tikros rūšies procesas, naudojamas kuriant virtualią aplinką. Tai leidžia vartotojui vienu metu paleisti kelias operacines sistemas viename kompiuteryje. Tai virtualios (o ne faktinės) versijos, tokios kaip operacinė sistema, serveris ar tinklo ištekliai, sukūrimas. Daugeliui kompanijų virtualizaciją galima laikyti bendros IT aplinkos tendencija, kuri galės valdyti save remdamasi suvokiama veikla ir naudingų funkcijų skaičiavimu. Svarbiausias virtualizacijos tikslas yra sumažinti administracines užduotis, kartu gerinant mastelį ir darbo krūvį. Tačiau virtualizaciją taip pat galima naudoti siekiant pagerinti saugumą. Čia yra 10 patarimų, kaip sumažinti riziką ir pagerinti saugumą, kad būtų galima išnaudoti visą virtualizacijos teikiamą naudą.

Virtualizacija ir saugumas

Įdiegus naują technologiją, daugelis organizacijų galvoja apie pasekmes saugumui. Virtualizacija teikia daug privalumų, todėl juos lengva parduoti IT architektūrose. Virtualizacija gali sutaupyti pinigų, padidinti verslo efektyvumą, sutrumpinti prastovas priežiūros metu, nepaveikdama verslo ir nesukeldama sutrikimų, be to, ji gali atlikti daugiau darbų, naudodama mažiau įrangos. Žinoma, yra daugybė būdų, kaip virtualizaciją įgyvendinti IT sektoriuose, naudojant tinklo virtualizaciją, saugyklos virtualizaciją, serverio ir darbalaukio virtualizaciją. Kiekvienas tipas gali kelti tam tikrą saugumo riziką. Yra daugybė virtualizacijos tipų sprendimų. Svarbu tai, kad virtualizavimas gali pagerinti saugumą, tačiau jis neturi galimybių užkirsti kelio visoms atakoms.

Virtualizacija gali būti naudojama įvairiais būdais ir reikalauja kiekvienos situacijos tinkamos saugos kontrolės. Šiame straipsnyje bus išnagrinėti būdai, kaip galite naudoti virtualizaciją, kad padidintumėte „Windows“ aplinkos saugumą.

Šie yra keli būdai, kaip sumažinti riziką ir pagerinti saugą naudojant virtualizaciją:

Smėlio dėžė

„Sandboxing“ yra apsauginis veikiančių programų atskyrimo mechanizmas, kuris dažnai naudojamas nepatikrintiems kodams ar programoms vykdyti iš nepatikrintų trečiųjų šalių, tiekėjų ir svetainių. Pagrindinis „sandboxing“ tikslas yra pagerinti virtualizacijos saugumą, izoliuojant programą, apsaugančią ją nuo išorės kenkėjiškų programų, kenksmingų virusų, programų, kurios sustabdo vykdymą ir kt. Jei turite kokių nors programų, kurios yra nestabilios ar neišbandytos, tiesiog įdėkite jas į virtualią mašiną, kad tai nedaro įtakos likusiai sistemos daliai.

Kartais galite sulaukti kenkėjiškos programos atakos, paleisdami ją naršyklėje, todėl visada gera praktika paleisti programas virtualioje mašinoje. Smėlio dėžės technologija yra glaudžiai susijusi su virtualizavimu. Virtualus kompiuteris siūlo kai kuriuos smėlio dėžių pranašumus nemokant priemokų už naują mašiną. Virtualioji mašina turi ryšį su internetu, o ne su įmonės LAN, todėl ji apsaugo operacinę sistemą ir programas nuo virusų ar žalingų virtualios mašinos išpuolių.

Serverio virtualizavimas

Serverio virtualizavimas yra serverio išteklių maskavimas, kuris padeda skaidyti fizinį serverį į mažesnius virtualius serverius, kad būtų maksimaliai išnaudojami ištekliai. Administratorius fizinį serverį padalija į kelias virtualias aplinkas. Šiomis dienomis įsilaužėliai dažnai vagia oficialius įrašus iš serverių. Serverio virtualizavimas leidžia mažiems virtualiems serveriams paleisti savo operacines sistemas ir paleisti iš naujo nepriklausomai vienas nuo kito. Virtualizuojami serveriai naudojami nestabilioms programoms, taip pat kompromituotoms programoms identifikuoti ir atskirti.

Šis virtualizacijos tipas dažniausiai naudojamas žiniatinklio serveriuose, teikiančiuose pigias interneto prieglobos paslaugas. Serverio naudojimas tvarko sudėtingas serverio išteklių detales, kartu didindamas panaudojimo procentą ir išlaikydamas pajėgumą. Virtualizuotas serveris palengvina kenkėjiškų virusų ar žalingų elementų aptikimą, apsaugodamas serverį, virtualias mašinas ir visą tinklą.

Serverio virtualizacijos naudojimo pranašumas yra tas, kad jis sukuria aparatūros abstrakcijos sluoksnį tarp x86 aparatinės įrangos ir operacinės sistemos. Tai taip pat sumažina virtualių serverių tankį iki fizinės serverio aparatinės įrangos. Serverio virtualizavimas sukuria serverio atvaizdą, kuris leidžia lengvai nustatyti, ar serveris veikia neįprastai.

Tinklo virtualizavimas

Tinklo virtualizavimas yra aparatinės ir programinės įrangos tinklo išteklių derinys, sujungiantis tinklo funkcionalumą į vieną virtualų tinklą. Naudodamiesi tinklo virtualizacija, virtualūs tinklai sumažina kenkėjiškų programų poveikį užkrėsdami sistemą. Tinklo virtualizavimas sukuria loginius virtualius tinklus iš pagrindinės tinklo aparatūros, kad būtų galima geriau integruoti į virtualią aplinką.

Svarbi tinklo virtualizacijos savybė yra izoliacija. Tai leidžia dinamiškai sudėti kelis virtualius tinklus, kurie egzistuoja atskirai, ir diegti tinkintas „nuo galo iki galo“ paslaugas. Tuose virtualiuose tinkluose jie yra valdomi vartotojams, dalijantis ir naudojant tinklo išteklius, gautus iš infrastruktūros tiekėjų.

Kitas pagrindinis tinklo virtualizacijos bruožas yra segmentacija, kai tinklas yra padalijamas į potinklinius tinklus. Tai procesas, kurio metu padidėja našumas, sumažinant vietinį srautą tinkle ir gerinant saugumą, vidinio tinklo struktūrą padarant nematomą iš išorės. Tinklo virtualizavimas taip pat naudojamas virtualizuotai infrastruktūrai sukurti, kad būtų palaikomi sudėtingi reikalavimai sukuriant pavienius programinės įrangos programų, aptarnaujančių kelis klientus, egzempliorius.

Hipervizoriaus saugumas

Sąvoka hipervizorius reiškia mažą programinę ar aparatinę įrangą, kuria ir valdo virtualias mašinas. Mašina, kurioje yra hipervizorius, vadinama pagrindine mašina. Hipervizoriaus sauga įgalina virtualizaciją naudojant hipervizorių, įskaitant kūrimą, diegimą, aprūpinimą ir valdymą. (Sužinokite daugiau apie „Virtualizacijos saugumą“: Patarimai, kaip išvengti „Hiper-VM“.)

Yra keletas pagrindinių saugos rekomendacijų hipervizoriams:

• Įdiekite hipervizoriaus naujinius, kuriuos išleido pardavėjas. Daugelis hipervizorių turės automatinį programinės įrangos atnaujinimą ir įdiegs atnaujinimus, kai jie bus rasti.
• Užtikrinkite plonais hipervizoriais, todėl diegimą lengva ir efektyvu atlikti naudojant minimalias kompiuterio išlaidas. Tai taip pat sumažina kenksmingo kodo, galinčio pasiekti hipervizorių, ataką.
• Nejunkite nenaudojamos fizinės aparatinės įrangos prie pagrindinės sistemos arba nenaudojamų NIC prie jokio tinklo. Kartais diskai yra naudojami duomenų atsarginėms kopijoms kurti, todėl nenaudojamus įrenginius reikia atjungti, kai jie nėra aktyviai naudojami atsarginėms kopijoms kurti.
• Jei jums nereikia failų mainų ar kitų paslaugų iš svečių OS ir pagrindinės OS, išjunkite visas nereikalingas paslaugas.
• Tarp svečių operacinių sistemų turi būti saugumas, kad jos galėtų bendrauti. Nevirtualizuota aplinka turėtų būti tvarkoma naudojant saugos kontrolę, pavyzdžiui, ugniasienes, tinklo įrenginius ir kt.

Stalinio kompiuterio virtualizavimas

Stalinio kompiuterio virtualizavimas leidžia kurti, modifikuoti ar ištrinti vaizdus ir atskiria darbalaukio aplinką nuo fizinio kompiuterio, naudojamo prie jo prieiti. Administratorius gali lengvai valdyti darbuotojų kompiuterius ir apsaugoti juos nuo neteisėtos prieigos ar virusų įvedimo. Tai suteikia daugiau saugumo vartotojui, pateikiant svečio OS vaizdą darbalaukio aplinkoje, ir neleidžia nukopijuoti ar išsaugoti duomenų į kitą diską nei serveris, todėl darbalaukio virtualizavimas tampa saugesne tinklo galimybe.

Infrastruktūros saugumas

Virtualizuota informacijos infrastruktūra leidžia kontroliuoti prieigą prie išteklių ir palaiko matomumą, kad būtų užtikrintas tinkamas informacijos tvarkymas. Bet kokią veiklą kompiuterinėje aplinkoje reikia sekti naudojant infrastruktūrą.

Virtualūs jungikliai

Virtualus jungiklis yra programinė programa, užtikrinanti saugumą, naudojant izoliavimo, valdymo ir turinio tikrinimo metodus tarp virtualių mašinų ir leidžianti vienai virtualiai mašinai susisiekti su kita.

Tai neleidžia vykdyti jungčių jungčių atakų. Pagrindinis virtualiojo jungiklio tikslas yra užtikrinti tinklo ryšį, kad būtų galima susisiekti su virtualiomis mašinomis ir programomis virtualiame tinkle iki fizinio tinklo.

Svečio OS sauga

Tai yra operacinė sistema virtualioje mašinoje ir naudojama pagrindinei operacinei sistemai talpinti ir ištekliams dalintis su kitomis virtualiomis mašinomis tame pačiame pagrindiniame kompiuteryje. Virtualizacija leidžia keistis informacija su OS naudojant diskus arba aplankus, sukurtus tinkle esančiuose diskuose. Jame yra keletas saugos funkcijų, pavyzdžiui, sistemingas svečio OS atnaujinimas, virtualių diskų atsarginės kopijos saugojimas ir tos pačios politikos taikymas nevirtualizuotiems kompiuteriams.

Didelis prieinamumas ir atkūrimas po nelaimių

Šiomis dienomis svarbiausia išsaugoti duomenis ir paslaugų prieinamumą IT sektoriuje. Virtualizacija sumažina atkūrimo laiką ir sąnaudas sukurdama atsarginę duomenų kopiją dideliame unikaliame faile, o tai taupo laiką iš naujo įdiegiant OS ir atkuriant duomenis. Tai leidžia atkurti bet kurios kompiuterio virtualią mašiną, kuri atitinka galios reikalavimus, taip pat suteikia galimybę greitai atsigauti po fizinio gedimo.

Serverio izoliacija

Virtualizacija naudoja serverio izoliaciją pirmiausia verslo tikslais. Keli serveriai gali būti paleisti vienoje virtualioje mašinoje be virtualizacijos, tačiau yra rizika, jei viename serveryje yra keli serveriai. Virtualizacija leidžia paleisti kelis serverius viename kompiuteryje, tuo pačiu atskiriant serverius nuo kito, nes jie veikia atskirose virtualiose mašinose.