Bảo mật thông qua ảo hóa
Ngu
ồn : quantrimang.com 
Deb Shinde
r
Quản trị mạng - Tất cả chúng ta đều biết
rằng, ảo hóa có thể tiết kiệm cho các công
ty khá nhiều tiền của và giúp đơn giản hóa
việc quản lý tài nguyên CNTT, nhưng liệu
nó có thể được sử dụng để nâng cao bảo
mật trong các hệ thống và các mạng? Từ
việc tạo các honeypot ảo và các honeynet ảo đến sự sử dụng Hyper-V để cách
ly các role máy chủ nhằm làm liền mạch vi
ệc sandbox các ứng dụng ảo với phiên
bản mới nhất của VMWare Workstation, thì câu trả lời là hoàn toàn có thể. Bài
viết này sẽ khai thác các cách bạn có thể sử dụng các công cụ ảo hóa để tăng
độ bảo mật của môi trường Windows.
Bảo mật ảo hóa và ảo hóa cho bảo mật
Chúng ta đã nghe rất nhiều về các vấn đề bảo mật phát sinh trong các môi
trường ảo hóa, và hầu hết trong số đó d
ường như tập trung vào cách bảo vệ các
máy ảo (VM). Sự thật ở đây là công nghệ ảo hóa có thể “phô” ra một số rủi ro
bảo mật; mặc dù vậy khi thực hiện đúng cách, việc ảo hóa cũng có thể cung cấp
nhiều lợi ích có liên quan đến bảo mật.
Sự kiểm soát là một thành phần quan trọng trong việc bảo mật các hệ thống,
gồm có việc bảo mật bên trong tổ ch
ức và bảo mật truy cập vào các tài nguyên
mạng từ bên ngoài (ví dụ như các máy tính bên ngoài và các thiết bị di động
được sử dụng bởi người dùng từ xa). Ảo hóa ứng dụng mang đến cho các bạn
cách áp dụng sự điều khiển tập trung trên các ứng dụng được truy cập bởi nhiều
người dùng, ảo hóa desktop cho phép bạn tạo ra các môi trường được cách ly

và an toàn nhằm tránh các ứng dụng hay các Website có hại,…
Sự tập trung dữ liệu s
ẽ làm cho chúng ta dễ dàng hơn trong việc bảo mật thông
tin, bên cạnh đó công nghệ ảo hóa máy chủ cho phép dữ liệu nhạy cảm không
phải lưu trên các desktop hay trên các laptop (cách lưu trữ dễ dẫn đến tình trạng
mất cắp dữ liệu).
Sandbox
Sandbox là một môi trường cách ly được sử dụng để bảo chạy các ứng dụng có
thể gây nguy hại cho hệ điều hành hay các ứng dụng khác cũng như mạng khác
một cách an toàn. Một máy ảo có thể truy cập trực tiếp các tài nguyên chủ, chính
vì vậy nó là cho sandbox hoàn hảo hơn. Nếu bạn có một ứng dụng không bền
vững, có các lỗ hổng về bảo mật hoặc không được test, khi đó bạn có thể cài đặt
nó trên một máy ảo để nếu có vấn đề gì về bảo mật hoặc bị thỏa hiệp thì điều đó
cũng không ảnh hưởng gì
đến phần còn lại của hệ thống.
Vì trình duyệt web thường là một đường mòn dẫn các phần mềm và các tấn
công nguy hiểm nên hành động bảo mật hữu hiệu là chạy trình duyệt trong một
máy ảo. Bạn cũng có thể chạy các chương trình khác có liên quan đến Internet –
chẳng hạn như email client, chương trình chat và các chương trình chia sẻ file
P2P – trong VN. VM có truy cập Internet, nhưng không có sự truy cập tới LAN
công ty. Điều đó có thể bảo vệ đượ
c hệ điều hành chủ và các chương trình
doanh nghiệp, tránh hiện tượng truy cập vào các tài nguyên nội bộ từ các tấn
công trên các máy ảo thông qua kết nối Internet.
Một ưu điểm khác đó là sự dễ dàng trong việc khôi phục các máy ảo nếu nó bị
thỏa hiệp. Phần mềm VM cung cấp việc back up image các máy tại các thời
điểm cụ thể, điều đó sẽ đơn giản cách khôi phục trở l
ại trạng thái an toàn trước
khi sự thỏa hiện diễn ra.
Các ứng dụng ảo liền mạch và cảm nhận desktop phong phú với VMWare

Workstation 6.5
Phiên bản mới nhất VMWare Workstation (v6.5) cung cấp một cảm nhận tích
máy trạm tích hợp nhất với tính năng cho phép bạn quan sát các ứng dụng riêng
lẻ từ máy ảo trên desktop chủ của bạn như thể chúng là các ứng dụng đang
chạy trên hệ điều hành chủ. Vớ
i người dùng, điều này làm cho sự tích hợp các
ứng dụng ảo liền mạch hơn nhiều và như vậy càng làm tăng sự hài lòng đối với
cảm nhận của người dùng. Bạn có thể kéo và thả hoặc copy sau đó paste giữa
máy ảo và host mà người dùng gần như không hề biết các ứng dụng đang chạy
trong các máy ảo. Điều đó có nghĩa rằng không còn có các hệ số phức tạp liên
quan
đến việc sandboxing một ứng dụng nào đó chẳng hạn như trình duyệt web
trong máy ảo.
Phần mềm mới này cũng cho phép bạn thiết lập một máy ảo để có thể mở rộng
cho nhiều màn hình. Điều này tỏ ra rất hữu dụng khi bạn cần chạy nhiều ứng
dụng cạnh nhau trong máy ảo. Hoặc bạn có thể thiết lập các máy ảo khác để mỗi
máy ảo hi
ển thị trên một màn hình khác nhau, cho phép bạn dễ dàng hơn trong
việc kiểm tra máy ảo nào mà bạn đang làm việc tại thời điểm nào đó. Bên cạnh
đó bạn cũng có thể chạy các máy ảo trong chế độ background mà không cần sử
dụng giao diện người dùng của Workstation. Bạn có thể tìm hiểu thêm các thông
tin về các tính năng mới của VMWare Workstation 6.5 tại đây
.
Sự cách ly máy chủ
Sự hợp nhất máy chủ là mục đích chính đối với nhiều doanh nghiệp sử dụng vấn
đề ảo hóa. Rõ ràng rằng, bạn có thể chạy nhiều role máy chủ trên cùng một máy
mà không cần đến sự ảo hóa; domain controller của bạn cũng có thể thực hiện
chức năng như một máy chủ DNS, hoặc máy chủ DHCP, RRAS,… Tuy nhiên
việc có nhiều role trên một máy chủ - đặc biệt là một domain controller – s
ẽ xuất

hiện nhiều rủi ro đáng kể về bảo mật. Sự ảo hóa sẽ cho phép bạn chạy tất cả
các role đó trên cùng một máy vật lý trong khi vẫn cách ly được các máy chủ với
nhau vì chúng chạy trên các máy ảo riêng biệt.
Microsoft đã thiết kế Hyper-V nhằm ngăn chặn sự truyền thông không được
thẩm định giữa các máy ảo. Mỗi một máy ảo chạy trong các quá trình riêng bên
trong các partition cha và chạy với các đặc quy
ền hạn chế trong chế độ user.
Điều đó giúp bảo vệ được các partition cha và hypervisor. Các cơ chế bảo mật
khác đã trang bị cho việc cách ly các máy ảo nữa gồm có các thiết bị ảo hóa
phân biệt, một VMBus phân biệt từ mỗi VM đến partition cha và không chia sẻ bộ
nhớ giữa các VM.
Lưu ý:
Nếu các hệ điều hành máy ảo truyền tải các nội dung bên trong chúng và chia sẻ
các đĩa trên một mạng LAN thì đ
iều đó sẽ tạo ra lỗ hổng có thể khai thác và phủ
định lại một số hiệu quả cách ly trong việc sử dụng máy ảo.
Honeypot và Honeynet
Honeypot là các máy tính được thiết lập với mục đích “chim mồi” các kẻ tấn
công, còn honeynet làm toàn bộ một mạng bao gồm các honeypot. Honeynet có
vẻ giống như một mạng sản xuất. Mục đích của nó là:
•
Để làm trệch hướng các tấn công khỏi mạng sản xuất thực của bạn
•
Cảnh bảo trước cho bạn những kiểu tấn công đã thực hiện để bạn có thời
gian bảo vệ chống lại chúng trên mạng và các hệ thống “thực”.
•
Thu thập một cách hợp lý các thông tin để có thể được sử dụng nhằm
nhận ra các tấn công
Honeypot và honeynet có thể được xây dựng bằng các máy vật lý, nhưng điều
đó có thể gây tốn kém và khó khăn trong việc quản lý. Với công nghệ ảo hóa,

một honeynet lớn có thể được xây dựng trên một máy vật lý với một mức chi phí
thấp hơn nhiều. Các desktop ảo có thể lướt web để tìm ra ra virus và các
malware nào mà ở đó phầ
n mềm AV của bạn không hỗ trợ bảo vệ.
Lưu ý:
Như một thao tác bảo mật tốt nhất, các honeypot được trang bị để làm trệch
hướng các tấn công từ Internet cần chạy trên một máy vật lý chuyên dụng, máy
vật lý này không được kết nối tới mạng sản xuất của bạn, hoặc có tường lửa đặt
giữa chúng. Honeynet điển hình được đặt trong mạng vành đai hoặc DMZ. Một
phương pháp khác là đặt honeypot trên mạng bên trong để phát hiện các tấ
n
xuất hiện bên trong.
Vì quá nhiều tổ chức ngày nay chạy các máy chủ của đã hợp nhất trên các máy
ảo, nên môi trường ảo được nhận xét không lâu nữa sẽ trở thành một mục tiêu
cho các kẻ tấn công thú vị hơn đối với các mạng sản xuất đích thực.
Kết luận
Các công nghệ máy ảo được triển khai đúng cách sẽ bổ sung một lớp bảo mật
khác cho các máy tính trong mạng củ
a bạn. Với các thao tác bảo mật tốt nhất
được sử dụng, các hệ điều hành và các ứng dụng đang chạy trên các máy ảo sẽ
được an toàn và từ đó bạn sẽ bảo vệ được chúng một cách an toàn trên các
máy vật lý. Đó cũng chính là đích cuối cùng và điều đó cho thấy được ảo hóa
cũng là một trong những công cụ trong kho vũ khí bảo mật của bạn.