10 τρόποι virtualization μπορεί να βελτιώσει την ασφάλεια

Η εικονικοποίηση είναι ένας τύπος διαδικασίας που χρησιμοποιείται για τη δημιουργία ενός εικονικού περιβάλλοντος. Επιτρέπει σε έναν χρήστη να εκτελεί ταυτόχρονα πολλαπλά λειτουργικά συστήματα σε έναν υπολογιστή. Είναι η δημιουργία μιας εικονικής (και όχι πραγματικής) έκδοσης για κάτι όπως λειτουργικό σύστημα, διακομιστή ή πόροι δικτύου. Για πολλές εταιρείες, η εικονικοποίηση μπορεί να θεωρηθεί ως μέρος μιας γενικής τάσης σε περιβάλλοντα πληροφορικής, τα οποία θα είναι σε θέση να διαχειριστούν τον εαυτό τους με βάση την αντιληπτή δραστηριότητα και την υπολογιστική χρησιμότητα. Ο σημαντικότερος στόχος του virtualization είναι η μείωση των διοικητικών καθηκόντων, ενώ παράλληλα βελτιώνεται η δυνατότητα κλιμάκωσης και ο φόρτος εργασίας. Ωστόσο, η εικονικοποίηση μπορεί επίσης να χρησιμοποιηθεί για τη βελτίωση της ασφάλειας. Ακολουθούν 10 συμβουλές για την ελαχιστοποίηση των κινδύνων και τη βελτίωση της ασφάλειας για να αποκομίσουν τα πλήρη οφέλη της virtualization.

Εικονικοποίηση και ασφάλεια

Πολλές οργανώσεις σκέφτονται τις συνέπειες στην ασφάλεια μετά την ανάπτυξη νέας τεχνολογίας. Η εικονικοποίηση παρέχει πολλά πλεονεκτήματα, γεγονός που καθιστά εύκολη την πώληση σε αρχιτεκτονικές πληροφορικής. Η εικονικοποίηση μπορεί να εξοικονομήσει χρήματα, να αυξήσει την αποδοτικότητα των επιχειρήσεων, να μειώσει το χρόνο διακοπής κατά τη διάρκεια της συντήρησης χωρίς να επηρεάσει τις επιχειρήσεις και να προκαλέσει διακοπές και μπορεί να κάνει περισσότερη δουλειά με λιγότερο εξοπλισμό. Φυσικά, υπάρχουν πολλοί τρόποι για την υλοποίηση της εικονικοποίησης σε τομείς πληροφορικής χρησιμοποιώντας virtualization δικτύου, εικονικοποίηση αποθήκευσης, εικονικοποίηση διακομιστών και εικονικοποίηση επιφάνειας εργασίας. Κάθε τύπος μπορεί να περιέχει κάποιο είδος κινδύνου ασφαλείας. Υπάρχουν πολλές λύσεις για τους τύπους virtualization. Το σημαντικό είναι ότι η εικονικοποίηση μπορεί να βελτιώσει την ασφάλεια, αλλά δεν έχει την ικανότητα να αποτρέπει όλες τις επιθέσεις.

Η εικονικοποίηση μπορεί να χρησιμοποιηθεί με πολλούς τρόπους και απαιτεί κατάλληλους ελέγχους ασφάλειας σε κάθε περίπτωση. Αυτό το άρθρο θα διερευνήσει τους τρόπους με τους οποίους μπορείτε να χρησιμοποιήσετε το virtualization για να αυξήσετε την ασφάλεια του περιβάλλοντος των Windows.

Ακολουθούν οι λίγοι τρόποι για να ελαχιστοποιηθούν οι κίνδυνοι και να βελτιωθεί η ασφάλεια με χρήση του virtualization:

Sandboxing

Το sandboxing είναι ένας μηχανισμός ασφαλείας για τον διαχωρισμό τρέχοντων προγραμμάτων που χρησιμοποιούνται συχνά για την εκτέλεση μη δοκιμασμένου κώδικα ή προγραμμάτων από μη επαληθευμένα τρίτα μέρη, προμηθευτές και ιστότοπους. Ο κύριος στόχος του sandboxing είναι να βελτιώσει την ασφάλεια του virtualization με την απομόνωση μιας εφαρμογής για την προστασία του από εξωτερικό κακόβουλο λογισμικό, επιβλαβείς ιούς, εφαρμογές που διακόπτουν την εκτέλεση κλπ. Εάν έχετε οποιαδήποτε εφαρμογή που είναι ασταθής ή μη δοκιμασμένη, απλά το βάλετε σε μια εικονική μηχανή ότι δεν επηρεάζει το υπόλοιπο σύστημα.

Μερικές φορές μπορεί να έχετε μια κακόβουλη επίθεση στην εφαρμογή σας ενώ την εκτελείτε σε ένα πρόγραμμα περιήγησης, οπότε είναι πάντα μια καλή πρακτική να τρέχετε τα προγράμματά σας σε μια εικονική μηχανή. Η τεχνολογία Sandbox συνδέεται στενά με την εικονικοποίηση. Ο εικονικός υπολογιστής προσφέρει μερικά από τα πλεονεκτήματα των sandboxes χωρίς να χρειαστεί να καταβάλει τις τιμές πριμοδότησης για μια νέα μηχανή. Η εικονική μηχανή έχει σύνδεση στο Internet, όχι στο εταιρικό LAN, έτσι προστατεύει το λειτουργικό σύστημα και τα προγράμματα από ιούς ή επιβλαβείς επιθέσεις στην εικονική μηχανή.

Εικονικοποίηση διακομιστή

Η εικονικοποίηση διακομιστή είναι η κάλυψη πόρων διακομιστή, η οποία βοηθά στη διαίρεση του φυσικού διακομιστή σε μικρότερους εικονικούς διακομιστές για τη μεγιστοποίηση των πόρων. Ο διαχειριστής διαιρεί τον φυσικό διακομιστή σε πολλαπλά εικονικά περιβάλλοντα. Αυτές τις μέρες, τα επίσημα αρχεία κλέβονται συχνά από διακομιστές από τους χάκερ. Η εικονικοποίηση διακομιστών επιτρέπει σε μικρούς εικονικούς διακομιστές να εκτελούν τα δικά τους λειτουργικά συστήματα και να επανεκκινούν ανεξάρτητα το ένα από το άλλο. Οι εικονικοί διακομιστές χρησιμοποιούνται για τον εντοπισμό και την απομόνωση εφαρμογών που είναι ασταθείς, καθώς και για συμβιβασμένες εφαρμογές.

Αυτός ο τύπος εικονικοποίησης χρησιμοποιείται κυρίως σε διακομιστές Web, οι οποίοι παρέχουν χαμηλού κόστους υπηρεσίες φιλοξενίας ιστοσελίδων. Η χρήση του διακομιστή διαχειρίζεται περίπλοκες λεπτομέρειες των πόρων του διακομιστή ενώ αυξάνει τα ποσοστά χρήσης και τη διατήρηση της χωρητικότητας. Ένας εικονικοποιημένος διακομιστής διευκολύνει την ανίχνευση κακόβουλων ιών ή επιβλαβών στοιχείων προστατεύοντας ταυτόχρονα τον διακομιστή, τις εικονικές μηχανές και ολόκληρο το δίκτυο.

Το πλεονέκτημα της χρήσης του virtualization server είναι ότι δημιουργεί ένα επίπεδο αφαίρεσης υλικού μεταξύ του υλικού x86 και του λειτουργικού συστήματος. Μειώνει επίσης την πυκνότητα των εικονικών εξυπηρετητών στο υλικό φυσικού διακομιστή. Η εικονικοποίηση διακομιστή δημιουργεί μια εικόνα ενός διακομιστή, ο οποίος καθιστά εύκολο τον προσδιορισμό του αν ο διακομιστής λειτουργεί ανώμαλα.

Εικονικοποίηση δικτύων

Η εικονικοποίηση δικτύου είναι ο συνδυασμός πόρων δικτύου υλικού και λογισμικού και συνδυάζει τη λειτουργικότητα δικτύου σε ένα ενιαίο εικονικό δίκτυο. Με την εικονικοποίηση δικτύου, τα εικονικά δίκτυα ελαχιστοποιούν την επίδραση του κακόβουλου λογισμικού κατά τη μόλυνση του συστήματος. Η εικονικοποίηση δικτύων δημιουργεί λογικά εικονικά δίκτυα από το υποκείμενο υλικό δικτύου για καλύτερη ενσωμάτωση σε εικονικά περιβάλλοντα.

Ένα σημαντικό χαρακτηριστικό του virtualization δικτύου είναι η απομόνωση. Επιτρέπει τη δυναμική σύνθεση πολλών εικονικών δικτύων που συνυπάρχουν μεμονωμένα για να αναπτύξουν εξειδικευμένες υπηρεσίες end-to-end εν κινήσει. Διαχειρίζονται σε αυτά τα εικονικά δίκτυα για τους χρήστες, μέσω της κοινής χρήσης και χρήσης πόρων δικτύου που έχουν αποκτηθεί από παρόχους υποδομής.

Ένα άλλο βασικό χαρακτηριστικό του virtualization δικτύου είναι η κατάτμηση, στην οποία το δίκτυο χωρίζεται σε υπο-δίκτυα, μια διαδικασία που οδηγεί στην ενίσχυση της απόδοσης με την ελαχιστοποίηση της τοπικής κίνησης στο δίκτυο και τη βελτίωση της ασφάλειας καθιστώντας την εσωτερική δομή του δικτύου αόρατη από έξω. Η εικονικοποίηση δικτύων χρησιμοποιείται επίσης για τη δημιουργία μιας εικονικοποιημένης υποδομής για την υποστήριξη πολύπλοκων απαιτήσεων δημιουργώντας μεμονωμένες εφαρμογές λογισμικού που εξυπηρετούν πολλούς πελάτες.

Υποστηρικτική Ασφάλεια

Ο όρος hypervisor σημαίνει μικρό λογισμικό ή υλικό που δημιουργεί και εκτελεί εικονικές μηχανές. Το μηχάνημα που περιέχει τον hypervisor ονομάζεται μηχανή υποδοχής. Η ασφάλεια του Hypervisor επιτρέπει την εικονικοποίηση με τη χρήση του hypervisor, συμπεριλαμβανομένης της ανάπτυξης, της υλοποίησης, της παροχής και της διαχείρισης. (Μάθετε περισσότερα στην Ασφάλεια Virtualization: Συμβουλές για την αποφυγή του Hyper Jumping VM.)

Υπάρχουν μερικές βασικές συστάσεις ασφάλειας για τους hypervisors:

• Εγκαταστήστε τις ενημερώσεις hypervisor που κυκλοφόρησε από τον προμηθευτή. Οι περισσότεροι hypervisors θα έχουν αυτόματη ενημέρωση του λογισμικού και θα εγκαταστήσουν ενημερώσεις όταν βρεθούν.
• Ασφαλίστε με τους λεπτούς hypervisors, που κάνει την εγκατάσταση εύκολη και αποδοτική για να τρέχει με ελάχιστη επιβάρυνση υπολογιστών. Μειώνει επίσης την πιθανότητα επίθεσης από κακόβουλο κώδικα που θα μπορούσε να φτάσει στον υποκειμενικό.
• Μην συνδέετε το αχρησιμοποίητο φυσικό υλικό στο σύστημα κεντρικού υπολογιστή ή τα μη χρησιμοποιημένα NIC σε οποιοδήποτε δίκτυο. Μερικές φορές οι μονάδες δίσκου χρησιμοποιούνται για την δημιουργία αντιγράφων ασφαλείας δεδομένων, οπότε οι μη χρησιμοποιούμενες συσκευές πρέπει να αποσυνδεθούν όταν δεν χρησιμοποιούνται ενεργά για δημιουργία αντιγράφων ασφαλείας.
• Εάν δεν χρειάζεστε υπηρεσία κοινής χρήσης αρχείων ή οποιαδήποτε άλλη υπηρεσία μεταξύ του λειτουργικού συστήματος επισκεπτών και του κεντρικού λειτουργικού συστήματος, απενεργοποιήστε τυχόν υπηρεσίες που δεν χρειάζονται.
• Πρέπει να υπάρχει ασφάλεια μεταξύ των λειτουργικών συστημάτων επισκεπτών για να μπορούν να επικοινωνούν. Τα μη εικονικά περιβάλλοντα πρέπει να αντιμετωπίζονται από ελέγχους ασφαλείας, όπως τείχη προστασίας, συσκευές δικτύου κ.λπ.

Εικονικοποίηση επιφάνειας εργασίας

Η εικονικοποίηση επιφάνειας εργασίας επιτρέπει τη δημιουργία, τροποποίηση ή διαγραφή εικόνων και διαχωρίζει το περιβάλλον επιφάνειας εργασίας από τον φυσικό υπολογιστή που χρησιμοποιείται για την πρόσβαση σε αυτήν. Ένας διαχειριστής μπορεί εύκολα να διαχειριστεί τους υπολογιστές των εργαζομένων και να τους προστατεύσει από μη εξουσιοδοτημένη πρόσβαση ή την εισαγωγή ιών. Παρέχει περισσότερη ασφάλεια στον χρήστη παρέχοντας εικόνα OS guest για το περιβάλλον επιφάνειας εργασίας και δεν επιτρέπει αντιγραφή ή αποθήκευση δεδομένων σε δίσκο διαφορετικό από τον διακομιστή, καθιστώντας την εικονικοποίηση επιφάνειας εργασίας ασφαλέστερη επιλογή για δικτύωση.

Ασφάλεια υποδομής

Μια εικονικοποιημένη υποδομή πληροφοριών επιτρέπει τον έλεγχο της πρόσβασης στους πόρους και διατηρεί την ορατότητα ώστε να διασφαλίζεται η σωστή διαχείριση των πληροφοριών. Όλες οι δραστηριότητες εντός του υπολογιστικού περιβάλλοντος πρέπει να παρακολουθούνται μέσω της υποδομής.

Εικονικοί διακόπτες

Ένας εικονικός διακόπτης είναι ένα πρόγραμμα λογισμικού που παρέχει ασφάλεια χρησιμοποιώντας τεχνικές απομόνωσης, ελέγχου και ελέγχου περιεχομένου μεταξύ εικονικών μηχανών και επιτρέπει σε μια εικονική μηχανή να επικοινωνεί με μια άλλη.

Δεν επιτρέπει την εκτέλεση επιθέσεων διασύνδεσης μεταξύ των διακοπτών. Ο κύριος σκοπός ενός εικονικού διακόπτη είναι να παρέχει συνδεσιμότητα δικτύου για να επικοινωνεί με εικονικές μηχανές και εφαρμογές εντός του εικονικού δικτύου με το φυσικό δίκτυο.

Ασφάλεια OS Guest

Αυτό είναι το λειτουργικό σύστημα σε μια εικονική μηχανή και χρησιμοποιείται για να φιλοξενεί το κύριο λειτουργικό σύστημα και να μοιράζεται πόρους με άλλες εικονικές μηχανές στον ίδιο κεντρικό υπολογιστή. Η εικονικοποίηση επιτρέπει την ανταλλαγή πληροφοριών με το λειτουργικό σύστημα χρησιμοποιώντας δίσκους ή φακέλους που δημιουργούνται από δικτυωμένους δίσκους. Περιέχει ορισμένα χαρακτηριστικά ασφαλείας, όπως η συστηματική ενημέρωση του φιλοξενούμενου λειτουργικού συστήματος, η διατήρηση του αντιγράφου ασφαλείας των εικονικών μονάδων δίσκου και η εφαρμογή της ίδιας πολιτικής για τους μη εικονικούς υπολογιστές.

Υψηλή διαθεσιμότητα και αποκατάσταση καταστροφών

Αυτές τις μέρες, το πιο σημαντικό είναι να διατηρηθούν τα δεδομένα και η διαθεσιμότητα υπηρεσιών στον τομέα της πληροφορικής. Η εικονικοποίηση μειώνει τον χρόνο και το κόστος της αποκατάστασης καταστροφών, δημιουργώντας αντίγραφα ασφαλείας σε ένα μεγάλο μοναδικό αρχείο, το οποίο εξοικονομεί χρόνο κατά την επανεγκατάσταση του λειτουργικού συστήματος και την αποκατάσταση των δεδομένων. Επιτρέπει την αποκατάσταση μιας εικονικής μηχανής σε οποιονδήποτε κεντρικό υπολογιστή που ικανοποιεί τις απαιτήσεις ισχύος και παρέχει επίσης μια δυνατότητα για ανάκαμψη από φυσική αποτυχία γρήγορα.

Απομόνωση διακομιστή

Η εικονικοποίηση χρησιμοποιεί την απομόνωση του διακομιστή κυρίως για επιχειρηματικούς σκοπούς. Πολλοί διακομιστές μπορούν να εκτελούνται σε ένα εικονικό μηχάνημα χωρίς εικονικοποίηση, αλλά υπάρχει κίνδυνος όταν έχετε πολλαπλούς διακομιστές σε ένα μόνο διακομιστή. Η εικονικοποίηση επιτρέπει την εκτέλεση πολλών διακομιστών σε ένα μόνο μηχάνημα, ενώ ταυτόχρονα απομονώνονται διακομιστές μεταξύ τους επειδή εκτελούνται σε ξεχωριστές εικονικές μηχανές.