Quản trị mạng - Tất cả chúng ta đều biết rằng, ảo hóa có thể tiết kiệm cho các công ty khá nhiều tiền của và giúp đơn giản hóa việc quản lý tài nguyên CNTT, nhưng liệu nó có thể được sử dụng để nâng cao bảo mật trong các hệ thống và các mạng? Từ việc tạo các honeypot ảo và các honeynet ảo đến sự sử dụng Hyper-V để cách ly các role máy chủ nhằm làm liền mạch việc sandbox các ứng dụng ảo với phiên bản mới nhất của VMWare Workstation, thì câu trả lời là hoàn toàn có thể. Bài viết này sẽ khai thác các cách bạn có thể sử dụng các công cụ ảo hóa để tăng độ bảo mật của môi trường Windows.
Bảo mật ảo hóa và ảo hóa cho bảo mật
Chúng ta đã nghe rất nhiều về các vấn đề bảo mật phát sinh trong các môi trường ảo hóa, và hầu hết trong số đó dường như tập trung vào cách bảo vệ các máy ảo (VM). Sự thật ở đây là công nghệ ảo hóa có thể “phô” ra một số rủi ro bảo mật; mặc dù vậy khi thực hiện đúng cách, việc ảo hóa cũng có thể cung cấp nhiều lợi ích có liên quan đến bảo mật.
Sự kiểm soát là một thành phần quan trọng trong việc bảo mật các hệ thống, gồm có việc bảo mật bên trong tổ chức và bảo mật truy cập vào các tài nguyên mạng từ bên ngoài (ví dụ như các máy tính bên ngoài và các thiết bị di động được sử dụng bởi người dùng từ xa). Ảo hóa ứng dụng mang đến cho các bạn cách áp dụng sự điều khiển tập trung trên các ứng dụng được truy cập bởi nhiều người dùng, ảo hóa desktop cho phép bạn tạo ra các môi trường được cách ly và an toàn nhằm tránh các ứng dụng hay các Website có hại,…
Sự tập trung dữ liệu sẽ làm cho chúng ta dễ dàng hơn trong việc bảo mật thông tin, bên cạnh đó công nghệ ảo hóa máy chủ cho phép dữ liệu nhạy cảm không phải lưu trên các desktop hay trên các laptop (cách lưu trữ dễ dẫn đến tình trạng mất cắp dữ liệu).
Sandbox
Sandbox là một môi trường cách ly được sử dụng để bảo chạy các ứng dụng có thể gây nguy hại cho hệ điều hành hay các ứng dụng khác cũng như mạng khác một cách an toàn. Một máy ảo có thể truy cập trực tiếp các tài nguyên chủ, chính vì vậy nó là cho sandbox hoàn hảo hơn. Nếu bạn có một ứng dụng không bền vững, có các lỗ hổng về bảo mật hoặc không được test, khi đó bạn có thể cài đặt nó trên một máy ảo để nếu có vấn đề gì về bảo mật hoặc bị thỏa hiệp thì điều đó cũng không ảnh hưởng gì đến phần còn lại của hệ thống.
Vì trình duyệt web thường là một đường mòn dẫn các phần mềm và các tấn công nguy hiểm nên hành động bảo mật hữu hiệu là chạy trình duyệt trong một máy ảo. Bạn cũng có thể chạy các chương trình khác có liên quan đến Internet – chẳng hạn như email client, chương trình chat và các chương trình chia sẻ file P2P – trong VN. VM có truy cập Internet, nhưng không có sự truy cập tới LAN công ty. Điều đó có thể bảo vệ được hệ điều hành chủ và các chương trình doanh nghiệp, tránh hiện tượng truy cập vào các tài nguyên nội bộ từ các tấn công trên các máy ảo thông qua kết nối Internet.
Một ưu điểm khác đó là sự dễ dàng trong việc khôi phục các máy ảo nếu nó bị thỏa hiệp. Phần mềm VM cung cấp việc back up image các máy tại các thời điểm cụ thể, điều đó sẽ đơn giản cách khôi phục trở lại trạng thái an toàn trước khi sự thỏa hiện diễn ra.
Các ứng dụng ảo liền mạch và cảm nhận desktop phong phú với VMWare Workstation 6.5
Phiên bản mới nhất VMWare Workstation (v6.5) cung cấp một cảm nhận tích máy trạm tích hợp nhất với tính năng cho phép bạn quan sát các ứng dụng riêng lẻ từ máy ảo trên desktop chủ của bạn như thể chúng là các ứng dụng đang chạy trên hệ điều hành chủ. Với người dùng, điều này làm cho sự tích hợp các ứng dụng ảo liền mạch hơn nhiều và như vậy càng làm tăng sự hài lòng đối với cảm nhận của người dùng. Bạn có thể kéo và thả hoặc copy sau đó paste giữa máy ảo và host mà người dùng gần như không hề biết các ứng dụng đang chạy trong các máy ảo. Điều đó có nghĩa rằng không còn có các hệ số phức tạp liên quan đến việc sandboxing một ứng dụng nào đó chẳng hạn như trình duyệt web trong máy ảo.
Phần mềm mới này cũng cho phép bạn thiết lập một máy ảo để có thể mở rộng cho nhiều màn hình. Điều này tỏ ra rất hữu dụng khi bạn cần chạy nhiều ứng dụng cạnh nhau trong máy ảo. Hoặc bạn có thể thiết lập các máy ảo khác để mỗi máy ảo hiển thị trên một màn hình khác nhau, cho phép bạn dễ dàng hơn trong việc kiểm tra máy ảo nào mà bạn đang làm việc tại thời điểm nào đó. Bên cạnh đó bạn cũng có thể chạy các máy ảo trong chế độ background mà không cần sử dụng giao diện người dùng của Workstation. Bạn có thể tìm hiểu thêm các thông tin về các tính năng mới của VMWare Workstation 6.5 tại đây.
Sự cách ly máy chủ
Sự hợp nhất máy chủ là mục đích chính đối với nhiều doanh nghiệp sử dụng vấn đề ảo hóa. Rõ ràng rằng, bạn có thể chạy nhiều role máy chủ trên cùng một máy mà không cần đến sự ảo hóa; domain controller của bạn cũng có thể thực hiện chức năng như một máy chủ DNS, hoặc máy chủ DHCP, RRAS,… Tuy nhiên việc có nhiều role trên một máy chủ - đặc biệt là một domain controller – sẽ xuất hiện nhiều rủi ro đáng kể về bảo mật. Sự ảo hóa sẽ cho phép bạn chạy tất cả các role đó trên cùng một máy vật lý trong khi vẫn cách ly được các máy chủ với nhau vì chúng chạy trên các máy ảo riêng biệt.
Microsoft đã thiết kế Hyper-V nhằm ngăn chặn sự truyền thông không được thẩm định giữa các máy ảo. Mỗi một máy ảo chạy trong các quá trình riêng bên trong các partition cha và chạy với các đặc quyền hạn chế trong chế độ user. Điều đó giúp bảo vệ được các partition cha và hypervisor. Các cơ chế bảo mật khác đã trang bị cho việc cách ly các máy ảo nữa gồm có các thiết bị ảo hóa phân biệt, một VMBus phân biệt từ mỗi VM đến partition cha và không chia sẻ bộ nhớ giữa các VM.
Lưu ý:
Nếu các hệ điều hành máy ảo truyền tải các nội dung bên trong chúng và chia sẻ các đĩa trên một mạng LAN thì điều đó sẽ tạo ra lỗ hổng có thể khai thác và phủ định lại một số hiệu quả cách ly trong việc sử dụng máy ảo.
Honeypot và Honeynet
Honeypot là các máy tính được thiết lập với mục đích “chim mồi” các kẻ tấn công, còn honeynet làm toàn bộ một mạng bao gồm các honeypot. Honeynet có vẻ giống như một mạng sản xuất. Mục đích của nó là:
- Để làm trệch hướng các tấn công khỏi mạng sản xuất thực của bạn
- Cảnh bảo trước cho bạn những kiểu tấn công đã thực hiện để bạn có thời gian bảo vệ chống lại chúng trên mạng và các hệ thống “thực”.
- Thu thập một cách hợp lý các thông tin để có thể được sử dụng nhằm nhận ra các tấn công
Honeypot và honeynet có thể được xây dựng bằng các máy vật lý, nhưng điều đó có thể gây tốn kém và khó khăn trong việc quản lý. Với công nghệ ảo hóa, một honeynet lớn có thể được xây dựng trên một máy vật lý với một mức chi phí thấp hơn nhiều. Các desktop ảo có thể lướt web để tìm ra ra virus và các malware nào mà ở đó phần mềm AV của bạn không hỗ trợ bảo vệ.
Lưu ý:
Như một thao tác bảo mật tốt nhất, các honeypot được trang bị để làm trệch hướng các tấn công từ Internet cần chạy trên một máy vật lý chuyên dụng, máy vật lý này không được kết nối tới mạng sản xuất của bạn, hoặc có tường lửa đặt giữa chúng. Honeynet điển hình được đặt trong mạng vành đai hoặc DMZ. Một phương pháp khác là đặt honeypot trên mạng bên trong để phát hiện các tấn xuất hiện bên trong.
Vì quá nhiều tổ chức ngày nay chạy các máy chủ của đã hợp nhất trên các máy ảo, nên môi trường ảo được nhận xét không lâu nữa sẽ trở thành một mục tiêu cho các kẻ tấn công thú vị hơn đối với các mạng sản xuất đích thực.
Kết luận
Các công nghệ máy ảo được triển khai đúng cách sẽ bổ sung một lớp bảo mật khác cho các máy tính trong mạng của bạn. Với các thao tác bảo mật tốt nhất được sử dụng, các hệ điều hành và các ứng dụng đang chạy trên các máy ảo sẽ được an toàn và từ đó bạn sẽ bảo vệ được chúng một cách an toàn trên các máy vật lý. Đó cũng chính là đích cuối cùng và điều đó cho thấy được ảo hóa cũng là một trong những công cụ trong kho vũ khí bảo mật của bạn.