Bảomậtthôngquaảohóa Ngu ồn : quantrimang.com Deb Shinde r Quản trị mạng - Tất cả chúng ta đều biết rằng, ảohóa có thể tiết kiệm cho các công ty khá nhiều tiền của và giúp đơn giản hóa việc quản lý tài nguyên CNTT, nhưng liệu nó có thể được sử dụng để nâng cao bảomật trong các hệ thống và các mạng? Từ việc tạo các honeypot ảo và các honeynet ảo đến sự sử dụng Hyper-V để cách ly các role máy chủ nhằm làm liền mạch vi ệc sandbox các ứng dụng ảo với phiên bản mới nhất của VMWare Workstation, thì câu trả lời là hoàn toàn có thể. Bài viết này sẽ khai thác các cách bạn có thể sử dụng các công cụ ảohóa để tăng độ bảomật của môi trường Windows. Bảomậtảohóa và ảohóa cho bảomật Chúng ta đã nghe rất nhiều về các vấn đề bảomật phát sinh trong các môi trường ảo hóa, và hầu hết trong số đó d ường như tập trung vào cách bảo vệ các máy ảo (VM). Sự thật ở đây là công nghệ ảohóa có thể “phô” ra một số rủi ro bảo mật; mặc dù vậy khi thực hiện đúng cách, việc ảohóa cũng có thể cung cấp nhiều lợi ích có liên quan đến bảo mật. Sự kiểm soát là một thành phần quan trọng trong việc bảomật các hệ thống, gồm có việc bảomật bên trong tổ ch ức và bảomật truy cập vào các tài nguyên mạng từ bên ngoài (ví dụ như các máy tính bên ngoài và các thiết bị di động được sử dụng bởi người dùng từ xa). Ảohóa ứng dụng mang đến cho các bạn cách áp dụng sự điều khiển tập trung trên các ứng dụng được truy cập bởi nhiều người dùng, ảohóa desktop cho phép bạn tạo ra các môi trường được cách ly và an toàn nhằm tránh các ứng dụng hay các Website có hại,… Sự tập trung dữ liệu s ẽ làm cho chúng ta dễ dàng hơn trong việc bảo mậtthông tin, bên cạnh đó công nghệ ảohóa máy chủ cho phép dữ liệu nhạy cảm không phải lưu trên các desktop hay trên các laptop (cách lưu trữ dễ dẫn đến tình trạng mất cắp dữ liệu). Sandbox Sandbox là một môi trường cách ly được sử dụng để bảo chạy các ứng dụng có thể gây nguy hại cho hệ điều hành hay các ứng dụng khác cũng như mạng khác một cách an toàn. Một máy ảo có thể truy cập trực tiếp các tài nguyên chủ, chính vì vậy nó là cho sandbox hoàn hảo hơn. Nếu bạn có một ứng dụng không bền vững, có các lỗ hổng về bảomật hoặc không được test, khi đó bạn có thể cài đặt nó trên một máy ảo để nếu có vấn đề gì về bảomật hoặc bị thỏa hiệp thì điều đó cũng không ảnh hưởng gì đến phần còn lại của hệ thống. Vì trình duyệt web thường là một đường mòn dẫn các phần mềm và các tấn công nguy hiểm nên hành động bảomật hữu hiệu là chạy trình duyệt trong một máy ảo. Bạn cũng có thể chạy các chương trình khác có liên quan đến Internet – chẳng hạn như email client, chương trình chat và các chương trình chia sẻ file P2P – trong VN. VM có truy cập Internet, nhưng không có sự truy cập tới LAN công ty. Điều đó có thể bảo vệ đượ c hệ điều hành chủ và các chương trình doanh nghiệp, tránh hiện tượng truy cập vào các tài nguyên nội bộ từ các tấn công trên các máy ảothôngqua kết nối Internet. Một ưu điểm khác đó là sự dễ dàng trong việc khôi phục các máy ảo nếu nó bị thỏa hiệp. Phần mềm VM cung cấp việc back up image các máy tại các thời điểm cụ thể, điều đó sẽ đơn giản cách khôi phục trở l ại trạng thái an toàn trước khi sự thỏa hiện diễn ra. Các ứng dụng ảo liền mạch và cảm nhận desktop phong phú với VMWare Workstation 6.5 Phiên bản mới nhất VMWare Workstation (v6.5) cung cấp một cảm nhận tích máy trạm tích hợp nhất với tính năng cho phép bạn quan sát các ứng dụng riêng lẻ từ máy ảo trên desktop chủ của bạn như thể chúng là các ứng dụng đang chạy trên hệ điều hành chủ. Vớ i người dùng, điều này làm cho sự tích hợp các ứng dụng ảo liền mạch hơn nhiều và như vậy càng làm tăng sự hài lòng đối với cảm nhận của người dùng. Bạn có thể kéo và thả hoặc copy sau đó paste giữa máy ảo và host mà người dùng gần như không hề biết các ứng dụng đang chạy trong các máy ảo. Điều đó có nghĩa rằng không còn có các hệ số phức tạp liên quan đến việc sandboxing một ứng dụng nào đó chẳng hạn như trình duyệt web trong máy ảo. Phần mềm mới này cũng cho phép bạn thiết lập một máy ảo để có thể mở rộng cho nhiều màn hình. Điều này tỏ ra rất hữu dụng khi bạn cần chạy nhiều ứng dụng cạnh nhau trong máy ảo. Hoặc bạn có thể thiết lập các máy ảo khác để mỗi máy ảo hi ển thị trên một màn hình khác nhau, cho phép bạn dễ dàng hơn trong việc kiểm tra máy ảo nào mà bạn đang làm việc tại thời điểm nào đó. Bên cạnh đó bạn cũng có thể chạy các máy ảo trong chế độ background mà không cần sử dụng giao diện người dùng của Workstation. Bạn có thể tìm hiểu thêm các thông tin về các tính năng mới của VMWare Workstation 6.5 tại đây . Sự cách ly máy chủ Sự hợp nhất máy chủ là mục đích chính đối với nhiều doanh nghiệp sử dụng vấn đề ảo hóa. Rõ ràng rằng, bạn có thể chạy nhiều role máy chủ trên cùng một máy mà không cần đến sự ảo hóa; domain controller của bạn cũng có thể thực hiện chức năng như một máy chủ DNS, hoặc máy chủ DHCP, RRAS,… Tuy nhiên việc có nhiều role trên một máy chủ - đặc biệt là một domain controller – s ẽ xuất hiện nhiều rủi ro đáng kể về bảo mật. Sự ảohóa sẽ cho phép bạn chạy tất cả các role đó trên cùng một máy vật lý trong khi vẫn cách ly được các máy chủ với nhau vì chúng chạy trên các máy ảo riêng biệt. Microsoft đã thiết kế Hyper-V nhằm ngăn chặn sự truyền thông không được thẩm định giữa các máy ảo. Mỗi một máy ảo chạy trong các quá trình riêng bên trong các partition cha và chạy với các đặc quy ền hạn chế trong chế độ user. Điều đó giúp bảo vệ được các partition cha và hypervisor. Các cơ chế bảomật khác đã trang bị cho việc cách ly các máy ảo nữa gồm có các thiết bị ảohóa phân biệt, một VMBus phân biệt từ mỗi VM đến partition cha và không chia sẻ bộ nhớ giữa các VM. Lưu ý: Nếu các hệ điều hành máy ảo truyền tải các nội dung bên trong chúng và chia sẻ các đĩa trên một mạng LAN thì đ iều đó sẽ tạo ra lỗ hổng có thể khai thác và phủ định lại một số hiệu quả cách ly trong việc sử dụng máy ảo. Honeypot và Honeynet Honeypot là các máy tính được thiết lập với mục đích “chim mồi” các kẻ tấn công, còn honeynet làm toàn bộ một mạng bao gồm các honeypot. Honeynet có vẻ giống như một mạng sản xuất. Mục đích của nó là: • Để làm trệch hướng các tấn công khỏi mạng sản xuất thực của bạn • Cảnh bảo trước cho bạn những kiểu tấn công đã thực hiện để bạn có thời gian bảo vệ chống lại chúng trên mạng và các hệ thống “thực”. • Thu thập một cách hợp lý các thông tin để có thể được sử dụng nhằm nhận ra các tấn công Honeypot và honeynet có thể được xây dựng bằng các máy vật lý, nhưng điều đó có thể gây tốn kém và khó khăn trong việc quản lý. Với công nghệ ảo hóa, một honeynet lớn có thể được xây dựng trên một máy vật lý với một mức chi phí thấp hơn nhiều. Các desktop ảo có thể lướt web để tìm ra ra virus và các malware nào mà ở đó phầ n mềm AV của bạn không hỗ trợ bảo vệ. Lưu ý: Như một thao tác bảomật tốt nhất, các honeypot được trang bị để làm trệch hướng các tấn công từ Internet cần chạy trên một máy vật lý chuyên dụng, máy vật lý này không được kết nối tới mạng sản xuất của bạn, hoặc có tường lửa đặt giữa chúng. Honeynet điển hình được đặt trong mạng vành đai hoặc DMZ. Một phương pháp khác là đặt honeypot trên mạng bên trong để phát hiện các tấ n xuất hiện bên trong. Vì quá nhiều tổ chức ngày nay chạy các máy chủ của đã hợp nhất trên các máy ảo, nên môi trường ảo được nhận xét không lâu nữa sẽ trở thành một mục tiêu cho các kẻ tấn công thú vị hơn đối với các mạng sản xuất đích thực. Kết luận Các công nghệ máy ảo được triển khai đúng cách sẽ bổ sung một lớp bảomật khác cho các máy tính trong mạng củ a bạn. Với các thao tác bảomật tốt nhất được sử dụng, các hệ điều hành và các ứng dụng đang chạy trên các máy ảo sẽ được an toàn và từ đó bạn sẽ bảo vệ được chúng một cách an toàn trên các máy vật lý. Đó cũng chính là đích cuối cùng và điều đó cho thấy được ảohóa cũng là một trong những công cụ trong kho vũ khí bảomật của bạn. . các công cụ ảo hóa để tăng độ bảo mật của môi trường Windows. Bảo mật ảo hóa và ảo hóa cho bảo mật Chúng ta đã nghe rất nhiều về các vấn đề bảo mật phát sinh. Bảo mật thông qua ảo hóa Ngu ồn : quantrimang.com Deb Shinde r Quản trị mạng - Tất cả chúng ta đều biết rằng, ảo hóa có thể tiết kiệm