以下的文章主要向大家描述的是如何正確利用虛擬化來提高安全性，我們都知道虛擬化技術可以幫助企業(yè)節(jié)省開支，IT資源管理的簡化，但是我們能利用虛擬化技術來加強系統(tǒng)和網絡的安全性嗎?隨著虛擬蜜罐(honeypot)和蜜網(honeynet)技術的出現(xiàn)。

到使用Hyper-V虛擬化技術分配服務器角色，再到虛擬應用程序的無縫沙盒(sandboxing)技術以及最新版本VMWare工作站的發(fā)布，答案是肯定的。

我們都知道虛擬化技術可以幫助企業(yè)節(jié)省開支，簡化IT資源管理，但是我們能夠利用虛擬化技術來加強系統(tǒng)和網絡的安全性嗎?隨著虛擬蜜罐(honeypot)和蜜網(honeynet)技術的出現(xiàn)，到使用Hyper-V虛擬化技術分配服務器角色，再到虛擬應用程序的無縫沙盒(sandboxing)技術以及最新版本VMWare工作站的發(fā)布，答案是肯定的。本文將探討如何使用虛擬化工具提高Windows環(huán)境的安全性等問題。

虛擬化安全vs安全的虛擬化

經常會有人談論虛擬環(huán)境中出現(xiàn)的安全問題，而大部分討論都是圍繞如何保護虛擬機問題的。誠然，虛擬化技術可能帶來某些安全風險，然而，如果用得適當，虛擬化技術也能夠幫助提高安全性。

控制力是保護系統(tǒng)的一個重要因素，包括對企業(yè)內部人員的控制和訪問公司網絡資源的外部人員的控制(例如遠程用戶使用便攜式電腦和移動設備訪問網絡)。虛擬化技術能夠幫助你集中控制最終用戶所訪問的應用程序，而桌面虛擬技術則能夠為具有潛在危害的應用程序、網站等創(chuàng)建安全、孤立的計算機環(huán)境。

數(shù)據集中化管理能夠確保數(shù)據的安全性，而基于服務器的虛擬化技術能夠確保重要數(shù)據不被存儲在臺式機或者很容易遺失或者被偷竊的筆記本電腦中。

沙盒技術

沙盒是指器不能直接訪問主一種相對孤立的環(huán)境，能夠安全地運行那些可能對操作系統(tǒng)、其他應用程序或網絡造成威脅的程序。虛擬機機資源，所以使沙盒技術十分安全。如果系統(tǒng)中存在不穩(wěn)定的應用程序、有安全漏洞應用程序或者未知應用程序，你可以將這樣的應用程序安裝在虛擬機中，這樣的話，當該應用程序出現(xiàn)問題時，就不會對主機系統(tǒng)的其他部分造成影響。

由于網絡瀏覽器經常會成為惡意軟件和病毒攻擊的對象，我們可以將瀏覽器在虛擬機中運行，當然你也可以在虛擬機中運行其他互聯(lián)網相關的程序(如電子郵件客戶端、聊天程序和P2P文件共享程序等)。虛擬機能夠訪問互聯(lián)網，但是不能訪問公司的局域網，這能夠幫助你保護主機操作系統(tǒng)以及訪問本地資源的商業(yè)程序免受互聯(lián)網中的攻擊。

另一個好處就是，當虛擬機受到攻擊時能夠很簡便地恢復，VM軟件會在特定的時間點對機器進行“快照”，因此能夠很快速地恢復到攻擊前的狀態(tài)。

無縫虛擬應用軟件和豐富的VMWare Workstation 6.5實戰(zhàn)經驗

最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能，并且其“Unity”功能能夠讓你在主機桌面中查看在主機操作系統(tǒng)的應用程序(來自虛擬機)。對用戶而言，這意味著完全的無縫虛擬應用程序整合，操作過程更加方便。用戶能夠輕松在虛擬機和主機間進行拖放或者粘貼操作，根本不會感覺應用程序是在虛擬機中運行，這就是說對虛擬機中的應用程最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能，并且其“Unity”功能能夠讓你在主機桌面中查看在主機操序(如網絡瀏覽器)實施沙盒技術時不再會感覺到任何障礙。

這種新軟件還能夠幫助用戶安裝虛擬機以便跨越多個監(jiān)控器進行操作，這很重要，尤其是當你需要在虛擬機中同事運行幾個應用程序時。或者你也可以安裝多個虛擬機在不同的監(jiān)控器上顯示，這樣就更容易追蹤用戶在特定時間所操作的虛擬計算機。另外也可以在后臺運行虛擬機，而不使用workstation用戶界面。

服務器分離

服務器整合是很多企業(yè)使用虛擬化的主要目的，當然你也可以不使用虛擬化而在一臺機器上運行多個服務器角色，你的域控制機還可以作為DNS服務器、DHCP服務器、RRAS服務器等。但是在一臺服務器上運行多個角色，特別是在域控制器上，會造成重大的安全風險。虛擬化可以讓你在同一物理機上運行所有這些相同的角色，并將服務器分離，因為他們是在單獨的虛擬機上運行。

微軟公司發(fā)布的Hyper-V虛擬軟件能夠防止VM間的未經授權的通信，且每個虛擬機在分離出來的單個工作進程中運行，并且在用戶模式中僅有有限的權限，這能夠保證主服務器和程序的安全性。其他能夠分離虛擬機的安全機制包括分離虛擬設備，一種從每個虛擬機到主服務器的獨立的VMBus，并且VM之間沒有共享空間。

注意：

值得注意的是，如果VM操作系統(tǒng)在VM之間傳輸內容或者在局域網內共享磁盤，就會帶來很大的安全風險，并且會動搖用戶使用虛擬技術的決心。

虛擬蜜罐技術和蜜網技術

蜜罐是指用來引誘攻擊者的計算機，而蜜網則是指包含蜜罐的整個網絡，網絡外部人員會覺得蜜網是某種生產網絡，其目的包括三方面：

·轉移攻擊者的注意力，保護真正的生產網絡;

·讓你對試圖攻擊網絡的攻擊類型進行預警，這樣就有時間專門研究如何對付這些攻擊，以防攻擊真正的網絡和系統(tǒng);

·收集可以用于鑒定攻擊者的信息。

蜜罐和蜜網可以使用物理機器構建，但是價格將會很昂貴，并且難以管理。有了虛擬技術，就能在一臺物理機上建立大型的蜜網，而且成本很低。虛擬桌面還可以找出網絡中防病毒軟件沒有防范到病毒和惡意軟件。

注意：

作為最佳安全方案，能夠轉移互聯(lián)網的攻擊的蜜網應該在專用物理機上運行，這樣就不會連接到真正的生產網絡，或者與真正網絡間有防火墻。蜜網通常被置于DMZ或者外圍網絡中，另一種方法就是將蜜罐置于內部網絡中以檢測來自內部的攻擊。

由于很多公司現(xiàn)在都將其生產服務器放在VM上運行，虛擬環(huán)境不再作為引誘攻擊者的信號，而是真正的生產網絡。

總結

適當部署虛擬技術可以為公司網絡提供多一層的安全保障，為了實現(xiàn)最佳安全做法，應當確保對運行在虛擬機上的操作系統(tǒng)和應用程序實施的保護與對運行在物理機中的操作系統(tǒng)和應用程序實施的保護是一樣，總之，虛擬化技術只能作為安全工具庫的一種工具，而不是全部。以上的相關內容就是對利用虛擬化來提高安全性的介紹，望你能有所收獲。