Deb Shinder
Quản trị mạng - Tấtcả chúng ta đều biết rằng, ảo hóa có thể tiết kiệm cho các công ty khá
nhiều tiền của và giúp đơn giản hóa việc quản lý tài nguyên CNTT, nhưng
liệu nó có thể được sử dụng để nâng cao bảo mật trong các hệ thống và
các mạng? Từ việc tạo các honeypot ảo và các honeynet ảo đến sự sử dụng
Hyper-V để cách ly các role máy chủ nhằm làm liền mạch việc sandbox các
ứng dụng ảo với phiên bản mới nhất của VMWare Workstation, thì câu trả
lời là hoàn toàn có thể. Bài viết này sẽ khai thác các cách bạn có thể
sử dụng các công cụ ảo hóa để tăng độ bảo mật của môi trường Windows.
Bảo mật ảo hóa và ảo hóa cho bảo mật
Chúng ta đã nghe rất nhiều về các vấn đề bảo mật phát
sinh trong các môi trường ảo hóa, và hầu hết trong số đó dường như tập
trung vào cách bảo vệ các máy ảo (VM). Sự thật ở đây là công nghệ ảo hóa
có thể “phô” ra một số rủi ro bảo mật; mặc dù vậy khi thực hiện đúng
cách, việc ảo hóa cũng có thể cung cấp nhiều lợi ích có liên quan đến
bảo mật.
Sự kiểm soát là một thành phần quan trọng trong việc
bảo mật các hệ thống, gồm có việc bảo mật bên trong tổ chức và bảo mật
truy cập vào các tài nguyên mạng từ bên ngoài (ví dụ như các máy tính
bên ngoài và các thiết bị di động được sử dụng bởi người dùng từ xa). Ảo
hóa ứng dụng mang đến cho các bạn cách áp dụng sự điều khiển tập trung
trên các ứng dụng được truy cập bởi nhiều người dùng, ảo hóa desktop cho
phép bạn tạo ra các môi trường được cách ly và an toàn nhằm tránh các
ứng dụng hay các Website có hại,…
Sự tập trung dữ liệu sẽ làm cho chúng ta dễ dàng hơn
trong việc bảo mật thông tin, bên cạnh đó công nghệ ảo hóa máy chủ cho
phép dữ liệu nhạy cảm không phải lưu trên các desktop hay trên các
laptop (cách lưu trữ dễ dẫn đến tình trạng mất cắp dữ liệu).
Sandbox
Sandbox là một môi trường cách ly được sử dụng để bảo
chạy các ứng dụng có thể gây nguy hại cho hệ điều hành hay các ứng dụng
khác cũng như mạng khác một cách an toàn. Một máy ảo có thể truy cập
trực tiếp các tài nguyên chủ, chính vì vậy nó là cho sandbox hoàn hảo
hơn. Nếu bạn có một ứng dụng không bền vững, có các lỗ hổng về bảo mật
hoặc không được test, khi đó bạn có thể cài đặt nó trên một máy ảo để
nếu có vấn đề gì về bảo mật hoặc bị thỏa hiệp thì điều đó cũng không ảnh
hưởng gì đến phần còn lại của hệ thống.
Vì trình duyệt web thường là một đường mòn dẫn các
phần mềm và các tấn công nguy hiểm nên hành động bảo mật hữu hiệu là
chạy trình duyệt trong một máy ảo. Bạn cũng có thể chạy các chương trình
khác có liên quan đến Internet – chẳng hạn như email client, chương
trình chat và các chương trình chia sẻ file P2P – trong VN. VM có truy
cập Internet, nhưng không có sự truy cập tới LAN công ty. Điều đó có thể
bảo vệ được hệ điều hành chủ và các chương trình doanh nghiệp, tránh
hiện tượng truy cập vào các tài nguyên nội bộ từ các tấn công trên các
máy ảo thông qua kết nối Internet.
Một ưu điểm khác đó là sự dễ dàng trong việc khôi
phục các máy ảo nếu nó bị thỏa hiệp. Phần mềm VM cung cấp việc back up
image các máy tại các thời điểm cụ thể, điều đó sẽ đơn giản cách khôi
phục trở lại trạng thái an toàn trước khi sự thỏa hiện diễn ra.
Các ứng dụng ảo liền mạch và cảm nhận desktop phong phú với VMWare Workstation 6.5
Phiên bản mới nhất VMWare Workstation (v6.5) cung cấp
một cảm nhận tích máy trạm tích hợp nhất với tính năng cho phép bạn
quan sát các ứng dụng riêng lẻ từ máy ảo trên desktop chủ của bạn như
thể chúng là các ứng dụng đang chạy trên hệ điều hành chủ. Với người
dùng, điều này làm cho sự tích hợp các ứng dụng ảo liền mạch hơn nhiều
và như vậy càng làm tăng sự hài lòng đối với cảm nhận của người dùng.
Bạn có thể kéo và thả hoặc copy sau đó paste giữa máy ảo và host mà
người dùng gần như không hề biết các ứng dụng đang chạy trong các máy
ảo. Điều đó có nghĩa rằng không còn có các hệ số phức tạp liên quan đến
việc sandboxing một ứng dụng nào đó chẳng hạn như trình duyệt web trong
máy ảo.
Phần mềm mới này cũng cho phép bạn thiết lập một máy
ảo để có thể mở rộng cho nhiều màn hình. Điều này tỏ ra rất hữu dụng khi
bạn cần chạy nhiều ứng dụng cạnh nhau trong máy ảo. Hoặc bạn có thể
thiết lập các máy ảo khác để mỗi máy ảo hiển thị trên một màn hình khác
nhau, cho phép bạn dễ dàng hơn trong việc kiểm tra máy ảo nào mà bạn
đang làm việc tại thời điểm nào đó. Bên cạnh đó bạn cũng có thể chạy các
máy ảo trong chế độ background mà không cần sử dụng giao diện người
dùng của Workstation. Bạn có thể tìm hiểu thêm các thông tin về các tính
năng mới của VMWare Workstation 6.5 [You must be registered and logged in to see this link.].
Sự cách ly máy chủ
Sự hợp nhất máy chủ là mục đích chính đối với nhiều
doanh nghiệp sử dụng vấn đề ảo hóa. Rõ ràng rằng, bạn có thể chạy nhiều
role máy chủ trên cùng một máy mà không cần đến sự ảo hóa; domain
controller của bạn cũng có thể thực hiện chức năng như một máy chủ DNS,
hoặc máy chủ DHCP, RRAS,… Tuy nhiên việc có nhiều role trên một máy chủ -
đặc biệt là một domain controller – sẽ xuất hiện nhiều rủi ro đáng kể
về bảo mật. Sự ảo hóa sẽ cho phép bạn chạy tất cả các role đó trên cùng
một máy vật lý trong khi vẫn cách ly được các máy chủ với nhau vì chúng
chạy trên các máy ảo riêng biệt.
Microsoft đã thiết kế Hyper-V nhằm ngăn chặn sự
truyền thông không được thẩm định giữa các máy ảo. Mỗi một máy ảo chạy
trong các quá trình riêng bên trong các partition cha và chạy với các
đặc quyền hạn chế trong chế độ user. Điều đó giúp bảo vệ được các
partition cha và hypervisor. Các cơ chế bảo mật khác đã trang bị cho
việc cách ly các máy ảo nữa gồm có các thiết bị ảo hóa phân biệt, một
VMBus phân biệt từ mỗi VM đến partition cha và không chia sẻ bộ nhớ giữa
các VM.
Lưu ý:
Nếu các hệ điều hành máy ảo truyền tải các nội dung bên trong
chúng và chia sẻ các đĩa trên một mạng LAN thì điều đó sẽ tạo ra lỗ hổng
có thể khai thác và phủ định lại một số hiệu quả cách ly trong việc sử
dụng máy ảo.
Honeypot và Honeynet
Honeypot là các máy tính được thiết lập với mục đích
“chim mồi” các kẻ tấn công, còn honeynet làm toàn bộ một mạng bao gồm
các honeypot. Honeynet có vẻ giống như một mạng sản xuất. Mục đích của
nó là:
- Để làm trệch hướng các tấn công khỏi mạng sản xuất thực của bạn
- Cảnh bảo trước cho bạn những kiểu tấn công đã thực hiện để bạn
có thời gian bảo vệ chống lại chúng trên mạng và các hệ thống “thực”.
- Thu thập một cách hợp lý các thông tin để có thể được sử dụng nhằm nhận ra các tấn công
máy vật lý, nhưng điều đó có thể gây tốn kém và khó khăn trong việc quản
lý. Với công nghệ ảo hóa, một honeynet lớn có thể được xây dựng trên
một máy vật lý với một mức chi phí thấp hơn nhiều. Các desktop ảo có thể
lướt web để tìm ra ra virus và các malware nào mà ở đó phần mềm AV của
bạn không hỗ trợ bảo vệ.
Lưu ý:
Như một thao tác bảo mật tốt nhất, các honeypot được trang bị
để làm trệch hướng các tấn công từ Internet cần chạy trên một máy vật lý
chuyên dụng, máy vật lý này không được kết nối tới mạng sản xuất của
bạn, hoặc có tường lửa đặt giữa chúng. Honeynet điển hình được đặt trong
mạng vành đai hoặc DMZ. Một phương pháp khác là đặt honeypot trên mạng
bên trong để phát hiện các tấn xuất hiện bên trong.
Vì quá nhiều tổ chức ngày nay chạy các máy chủ của đã
hợp nhất trên các máy ảo, nên môi trường ảo được nhận xét không lâu nữa
sẽ trở thành một mục tiêu cho các kẻ tấn công thú vị hơn đối với các
mạng sản xuất đích thực.
Kết luận
Các công nghệ máy ảo được triển khai đúng cách sẽ bổ
sung một lớp bảo mật khác cho các máy tính trong mạng của bạn. Với các
thao tác bảo mật tốt nhất được sử dụng, các hệ điều hành và các ứng dụng
đang chạy trên các máy ảo sẽ được an toàn và từ đó bạn sẽ bảo vệ được
chúng một cách an toàn trên các máy vật lý. Đó cũng chính là đích cuối
cùng và điều đó cho thấy được ảo hóa cũng là một trong những công cụ
trong kho vũ khí bảo mật của bạn.