Виртуализация: Безопасные виртуальные пользовательские окружения в VMware ACE


Безопасность компьютерных систем за последние годы является одной из самых важных проблем в сфере IT. Различные комплексные системы компьютерной безопасности и средства производителей операционных систем и программного обеспечения позволяют в данный момент достаточно надежно защитить IT-инфраструктуру предприятия от атак извне. В этом плане, за последнее время средства защиты производственной среды компаний существенно продвинулись вперед. Однако, проблема инсайдерских (внутренних) атак является сейчас одной из самых актуальных. Предприятия вынуждены детально разрабатывать комплексные политики безопасности рабочих станций и серверов, использующихся различными категориями сотрудников, тратя на это значительное время и ресурсы.

Существенный прогресс технологий виртуализации позволил многим компаниям значительно сократить затраты на содержание IT-инфраструктуры в отношении как настольных, так и серверных платформ, за счет консолидации нескольких виртуальных машин на одной физической. Виртуальные системы способны тесно интегрироваться в производственную среду предприятия и повысить эффективность IT-составляющей компании, однако, так же, как и физические платформы (если не более), требуют высокого внимания в отношении безопасности. Компания VMware является одной из первых, кто задумался о проблеме безопасности виртуальной инфраструктуры и создании защищенных пользовательских окружений. Первым продуктом компании, решающим эти проблемы в отношении рабочих станций, был VMware ACE 1.0. В нем можно было создавать защищенные политиками безопасности виртуальные машины и использовать их как рабочие среды для сотрудников компании, а также для демонстрации программного обеспечения и обучения. Однако продукту явно не хватало многих возможностей, необходимых для корпоративного использования, таких, как централизованное развертывание и интеграция с другими платформами виртуализации VMware, и он не обрел большой популярности. Вышедшая во втором квартале 2007 года вторая версия VMware ACE приобрела столько новых возможностей, что можно с уверенностью сказать, что этот продукт будет использоваться многими компаниями как средство создания надежных виртуальных пользовательских окружений.

О платформе VMware ACE 2.0

Компания VMware выпустила вторую версию продукта VMware ACE одновременно с выпуском своей платформы VMware Workstation 6 не случайно: VMware ACE является расширением Workstation с дополнительными функциями по созданию изолированных, защищенных пользовательских сред в соответствии с концепцией надежного компьютерного окружения (assured computing environment). ACE Option Pack может быть включен в VMware Workstation 6 путем введения лицензионного ключа на VMware ACE. Основные возможности продукта включают в себя:

Централизованное управление

Под этим понимается управление виртуальными машинами со специализированного сервера ACE Management Server, позволяющее:

  • управлять правами доступа и политиками безопасности, централизованно применяемыми к рабочим станциям, с помощью механизма VRM (Virtual Rights Management)
  • осуществлять безопасный доступ к виртуальным окружениям из любой точки
  • контролировать подключение устройств к виртуальным машинам (USB-устройств, принтеров или CD/DVD-приводов)
  • управлять политиками устаревания виртуальных машин, которые могут быть активированы на определенное время

Повышенная безопасность

VMware ACE предоставляет возможности по защите конфиденциальной информации при нахождении виртуальных окружений в потенциально небезопасных средах, что включает в себя:

  • использование доступа к сети из виртуальной машины на основе правил безопасности
  • шифрование файлов виртуальных дисков и файлов конфигурации по алгоритму AES с длиной ключа 128 бит
  • гибкость в отношении ограничения пользовательских действий

Удобство развертывания и использования

С помощью VMware ACE можно создать пользовательские окружения, которые могут распространяться на любом носителе и централизованно развертываться на рабочих станциях. Это удобно и легко, благодаря:

  • возможностям создания независимых от оборудования пакетов на съемных носителях с помощью Pocket ACE
  • интеграции с платформой VMware Workstation, с включенным ACE Option Pack, на которой могут быть запущены эти пакеты
  • удобству резервного копирования пользовательских окружений и их восстановления
  • возможности создания снимков состояния виртуальных машин («снапшотов»), к которым может быть произведен быстрый откат, что очень полезно при различного рода демонстрациях программного обеспечения

Где применяется VMware ACE

Возможности продукта VMware ACE позволяют использовать его в самых разных аспектах, когда требуется защитить жизненно важную информацию в виртуальных машинах, предотвратить несанкционированное копирование и централизованно обслуживать пользовательские среды с точки зрения безопасности. Основные варианты использования VMware ACE включают в себя:

  • Использование надежно защищенных виртуальных десктопов, доступ к которым может осуществляться публично. Эти десктопы могут также переноситься разными пользователями между различными компьютерами без риска утечки конфиденциальной информации.
  • Применение изолированных аппаратно независимых защищенных рабочих сред пользователей, где их действия централизованно ограничены (к примеру, возможность скопировать информацию на USB-flash-диск).
  • Поддержка старых операционных систем, в которых проблематично соответствовать требованиям к безопасности
  • Создание ограниченных по времени виртуальных приложений (Virtual Appliances), которые подходят для целей демонстрации программных продуктов, а также распространения программного обеспечения по модели SaaS (Software-as-a-Service).

Как работает VMware ACE

VMware ACE позволяет развертывать и обслуживать пакеты, состоящие из виртуальной машины, политик доступа и безопасности, централизованно с сервера ACE Management Server. При этом можно динамически «накатывать» необходимые обновления на виртуальные десктопы и деактивировать их в любое время. В общем случае схема использования VMware ACE выглядит так:

Использование VMware ACE
Использование VMware ACE

Пошаговая процедура развертывания виртуальных окружений VMware ACE выглядит следующим образом:

  1. Создание виртуальной машины в VMware Workstation, установка необходимой гостевой операционной системы и приложений. Создание защищенных сред VMware ACE доступно пока только для хостовых систем Windows, однако в ближайшем времени ожидается версия ACE и под Linux.
  2. Определение свойств безопасности и доступа в VMware Workstation с активированным ACE Option Pack, включающих в себя:
    • Разграничение сетевого доступа (порты и тип трафика)
    • Ограничение устройств по типам или ID
    • Защиту виртуальной машины от изменения
    • Определение срока действия виртуальной машины
    • Защита паролем
  3. Упаковка виртуальной машины в пакет и подготовка их для последующего развертывания. Этот шаг включает в себя также следующие действия:
    • включение «проигрывателя» виртуальных машин VMware ACE Player в формате *.msi (для Windows) или *.tar (для Linux). VMware ACE Player поддерживает следующие хостовые платформы:
      • Windows Vista
      • Windows Server 2003
      • Windows XP
      • Windows 2000
      • Windows Vista x64
      • Windows Server 2003 x64
      • Windows XP Professional x64
      • Mandriva Linux
      • Mandrake Linux
      • Red Hat Enterprise Linux
      • Red Hat Linux
      • SUSE Linux Enterprise Server
      • openSUSE
      • SUSE Linux
      • Ubuntu Linux
      • Mandriva Linux x64
      • Mandriva Corporate x64
      • Red Hat Enterprise Linux x64
      • SUSE Linux Enterprise Server x64
      • openSUSE 10.2 x64
      • SUSE Linux x64
      • Ubuntu Linux x64
    • автоматизация использования утилиты sysprep.exe (в гостевых ОС Windows) для подготовки ОС к развертыванию
    • удаленное включение виртуальных машин в домен, а также включение возможности виртуальной частной сети (VPN, Virtual Private Network) для управления виртуальной машиной с помощью политик домена
    • интеграция аутентификации в гостевой ОС со службами Active Directory
  4. Развертывание виртуальных машин на любые поддерживаемые носители.
  5. Управление клиентскими системами VMware ACE с помощью ACE Management Server, для которого необходима следующая платформа:
    • процессор 1200 МГц и выше
    • 1 ГБ оперативной памяти
    • рекомендуется 10 ГБ памяти на жестком диске (для хранения информации во внутренней базе данных SQLite или внешней Microsoft SQL Server или Oracle)
    • хостовая ОС Windows 2000/XP/2003 или Red Hat Linux

Издания VMware ACE

Компания VMware предлагает воспользоваться продуктом VMware ACE, выбрав одно из трех изданий: Starter, Standard и Enterprise. Последние два издания лицензируются с помощью Volume License Key, что подразумевает единовременный ввод лицензионного ключа и автоматическое включение лицензий в создаваемые пакеты, что очень удобно при массовом развертывании пакетов. В таблице ниже представлены возможности каждого из изданий.

 ACE 2
Starter Kit
ACE 2
Standard Kit
ACE 2
Enterprise Kit
Число клиентских лицензий1050200
Volume Licensing Keyнетдада
Средство управления ACE Management Serverнетдада

Установка и настройка виртуальных окружений в VMware ACE

После того как вы установите VMware Workstation 6 в хостовой системе, вам необходимо ввести лицензионный ключ для того, чтобы превратить продукт в VMware ACE. После перезапуска вы увидите новое окно VMware ACE, в котором вы можете по-прежнему создавать обычные виртуальные машины. Для того чтобы создать новую виртуальную защищенную среду ACE, в меню «File» выберите «New->ACE Master». Далее вы увидите следующее окно:

Создание защищенной среды ACE Master
Создание защищенной среды ACE Master

Затем вам будет необходимо указать такие же настройки, как и в VMware Workstation, за исключением того, что нельзя будет выбрать возможность использования физического диска виртуальной машиной напрямую. Нужно также отметить, что для создаваемых виртуальных окружений по умолчанию выбран тип сетевого взаимодействия NAT (Network Address Translation) как наиболее безопасный, что позволяет защищенным виртуальным машинам инициировать соединения во внешнюю по отношению к хостовой системе сеть, без возможности подключения к ним из внешней сети. После того как виртуальная машина будет создана, вам необходимо установить гостевую ОС и VMware Tools в ней. Затем вы можете приступать к заданию политик для созданного окружения. Для этого в главном окне программы выберите «Edit policies».

Главное окно VMware ACE
Главное окно VMware ACE

Далее вы увидите следующее окно:

Настройка политик для защищенного окружения ACE
Настройка политик для защищенного окружения ACE

В этом окне вы можете управлять различными параметрами политик доступа и безопасности виртуальной среды в следующих аспектах:

- Access Control
Позволяет установить защиту на активацию виртуальной машины в панели «Activation». Если пароль установлен, то пользователи могут получить доступ к пакету с виртуальной машиной, только введя пароль. На панели «Authentication» можно определить пользователей, которые могут включать виртуальную машину, создать ключ восстановления пароля, а также задать собственный скрипт аутентификации, который будет разделять права доступа для Linux и Windows хостовых платформ в VMware ACE Player.

- Host-Guest Data Script
В этой категории можно задать скрипт, который будет исполняться в хостовой и гостевой системах при старте виртуальной машины. Его использование удобно, когда требуется, например, использование общих ресурсов между хостовой и гостевой системами.

- Expiration
Здесь можно указать время, через которое виртуальная машина перестанет работать. Вы также можете добавить сообщение, которое будет показываться за несколько дней до устаревания виртуальной машины и сообщение, показываемое после окончания срока действия защищенной среды.

- Copy protection
На этой вкладке можно включить защиту от копирования виртуального окружения. Она работает следующим образом: на основании пути к папке, где будет располагаться виртуальная машина, и ID BIOS хостовой системы генерируется CPID (Copy Protection Identifier). В случае использования Pocket ACE для переносных носителей вместо BIOS ID используется ID файловой системы. Если установлена защита от копирования, виртуальная машина запустится только на определенной хостовой платформе и не сможет быть скопирована. CPID хранится на сервере ACE Management Server и может меняться системным администратором.

- Resource Signing
Здесь определяется, может ли быть запущено виртуальное окружение при нарушении целостности файлов в папке ACE Resources. В этой папке могут лежать различные скрипты, лицензии для пользователей и вспомогательные файлы, целостность которых критична для правильного использования виртуальной машины. В случае распространения программного обеспечения с помощью VMware ACE, эта политика оказывается весьма полезной.

- Network Access
Политики разделения сетевого доступа определяют, как виртуальная машина будет использовать сетевые ресурсы хоста. Можно настроить сетевой экран, определить подсети, в которых будет действовать виртуальная машина и многое другое. С сервера ACE Management Server можно в любой момент отключить или ограничить использование сети виртуальным окружением в случае, например, вирусной угрозы.

- Removable Devices и USB Devices
В этих категориях можно ограничить использование физических устройств виртуальной машиной, включая USB-устройства. Эти возможности необходимы для предотвращения кражи конфиденциальной информации из пользовательских сред.

- Virtual Printer
Включение этой опции позволяет приложениям в гостевой системе печатать документы на принтере хостовой системы без необходимости установки каких-либо драйверов. Виртуальный принтер подключается к эмулируемому последовательному порту, который можно увидеть на вкладке «Hardware» в меню «Settings» виртуальной машины.

- Runtime Preferences
Здесь можно определить настройки виртуальной машины, такие как запуск только в полноэкранном режиме, возможность изменения выделенной оперативной памяти пользователем и поведение виртуальной машины при ее выключении (например, переход в состояние Suspend – аналог Hibernate).

- Snapshots
В этой категории можно настроить создание автоматических снимков состояния системы, к которым пользователь может откатиться в случае ее повреждения.

- Administrator mode
Эта политика позволяет задать пароль для административного доступа к настройкам виртуальной машины, которые могут быть изменены на клиентских компьютерах с помощью как GUI-интерфейса, так и утилиты vmware-acetool.

- Hot Fix
Эта политика предназначена для того, чтобы пользователи защищенных окружений могли запросить помощь системного администратора, которая может им понадобиться в случае:

  • утери пароля
  • устаревания виртуальной машины
  • использования защищенной от копирования виртуальной машины
Этот механизм очень удобен при массовом развертывании виртуальных машин.

После того как политики будут установлены, необходимо произвести настройку пакета, который будет создан из различных компонентов защищенного виртуального окружения. Для редактирования настроек пакета нажмите «Edit package setting» в главном окне VMware ACE.

Задание свойств пакета VMware ACE
Задание свойств пакета VMware ACE

В этом окне системный администратор может подготовить к развертыванию пакет с виртуальной машиной, определив различные параметры, включающие в себя:

  • Encryption
    На этой вкладке можно настроить шифрование развертываемого пакета (Package protection) — полностью или только файла конфигурации, а также шифрование виртуальной машины, полученной после инсталляции пакета.
  • Package Lifetime
    Эти настройки позволяют управлять временем, в которое возможна инсталляция пакета: всегда, в течение определенного количества дней с момента инсталляции и в заданный диапазон дат. Эти возможности удобны для распространения пакетов для демонстрации программного обеспечения
  • Instance Customization
    В этой категории можно настроить различные параметры для автоматизированного развертывания виртуальных окружений в инфраструктуре Microsoft. Для того чтобы эти параметры оказались доступны, необходимо ввести лицензионный ключ для развертываемой гостевой системы. После его введения становятся доступны следующие возможности:
    • System Options
      Эти настройки позволяют ввести имя, организацию и имя компьютера пользователя виртуальной среды, а также сгенерировать идентификатор безопасности (SID, Security ID) для каждой устанавливаемой копии гостевой системы и разрешить синхронизацию времени между хостовой и гостевой системой.
    • Initialization Scripts
      Позволяет системным администраторам указать сценарии, которые будут выполнены в гостевой системе по окончании настройки виртуальной машины.
    • Workgroup or Domain
      В этой категории можно указать учетную запись домена или присоединить компьютер к рабочей группе. При этом в пакет можно включить конфигурационный скрипт, который присоединит компьютер к домену, используя удаленный сервер с помощью установки VPN-соединения.
  • Custom EULA
    На этой вкладке можно указать файл лицензионного соглашения (EULA, End User License Agreement), текст которого будет выведен при первом запуске виртуальной машины. Пользователь должен согласиться с лицензией для использования виртуальной среды.
  • Deployment Platform
    Эта настройка пакета определяет, на какой платформе (Windows или Linux) будет развернуто виртуальное окружение. Возможен также выбор обоих вариантов.

После того как пакет будет настроен необходимым образом, системный администратор должен создать готовый к развертыванию пакет одного из двух видов: для использования на жестком диске компьютера или для размещения на съемном носителе, с помощью мастера Pocket ACE. Для того чтобы создать пакет первого вида, нажмите «Create new package» в главном окне VMware ACE для виртуальной машины. Далее вам необходимо будет указать имя пакета, расположение его файлов и заметки к нему. После этого, вам предложат на выбор три типа пакета:

  • Full (пакет со всеми компонентами)
  • Policy Update (пакет только для обновления политик безопасности)
  • Custom (позволяет выбрать компоненты вручную)

Выберите Custom и отметьте необходимые вам компоненты пакета.

Выбор компонентов для пакета с виртуальным окружением
Выбор компонентов для пакета с виртуальным окружением

В состав пакета можно включить:

  • Саму виртуальную машину
  • Политики ACE, которые мы настроили в окне «Policies»
  • Ресурсы виртуальной машины, находящиеся в папке ACE Resources в каталоге с виртуальной машиной
  • Проигрыватели виртуальных машин для Windows и Linux платформ
  • Инсталляционные файлы в формате *.msi или *.tar для установки виртуальной среды на хостовой платформе

На панели «Disk Space» показан также окончательный объем пакета и объем свободного места, необходимого для развертывания виртуальной среды.

После того как пакет будет создан, его можно развертывать на рабочих станциях или серверах для получения виртуальной инфраструктуры десктопов (VDI, Virtual Desktop Infrastructure). В случае их небольшого количества можно вполне обойтись без централизованного управления ими, однако, при создании большого числа защищенных пользовательских сред, перемещаемых пользователями между различными компьютерами, необходим постоянный контроль и централизованное обновление политик безопасности.

VMware ACE Management Server

Платформа ACE Management Server компании VMware является мощным средством по поддержанию в жизнеспособном состоянии инфраструктуры десктопов в организации. Основные функции ACE Management Server включают в себя:

  • управление активациями пакетов VMware ACE
  • управление правами доступа к виртуальным окружениям
  • динамическое развертывание обновлений к виртуальным средам
  • управление настройками гостевых систем на Windows-платформе

Приложение ACE Management Server распространяется как дистрибутив для хостовых систем Windows и Linux, а также как шаблон виртуальной машины (Virtual Appliance), который может быть запущен в среде VMware Workstation или VMware Server. ACE Server использует протокол LDAP для интеграции гостевых систем в инфраструктуру Active Directory и протокол HTTPS для взаимодействия виртуальных машин с сервером. Доступ к серверу ACE Management производится посредством тонкого клиента. Сама серверная часть построена на основе веб-сервера Apache 2.0.

Для того чтобы подключить виртуальные пользовательские среды к ACE Management Server, необходимо при создании виртуальной машины указать адрес сервера, который будет управлять ей. При работе в производственной среде предприятия, Management Server собирает информацию о клиентских виртуальных средах и хранит ее в базе SQLite 3. При большом числе клиентских машин, возможно, потребуется довольно большая база данных, которую могут поддерживать Oracle или Microsoft SQL Server. Издания Standard и Enterprise продукта VMware ACE предполагают управление до 50 и 200 клиентами соответственно. Дополнительные лицензии могут быть приобретены в любой момент, что удобно при росте потребностей в использовании защищенных окружений.

Резюме

Продукт VMware ACE является уникальным средством среди решений в сфере виртуализации с точки зрения создания защищенных пользовательских окружений в безопасной среде (assured computing environment). Широкие возможности по централизованному развертыванию пакетов виртуальных машин, включающих в себя политики безопасности и разделения доступа, а также контроль времени использования, заставляют производителей программного обеспечения всерьез задуматься о новом способе его доставки конечным пользователям. VMware ACE весьма удобен также при различного рода демонстрациях программных продуктов. И, конечно же, VMware ACE идеально подходит для развертывания в производственной среде предприятия виртуальной инфраструктуры десктопов, предполагающей наличие средств по защите информации от несанкционированного доступа. Возможности VMware ACE позволяют пользователям не заботиться о безопасности своих переносных виртуальных сред, которые могут быть украдены, например с ноутбуком. Безусловно, у платформы VMware ACE есть будущее в секторе среднего и крупного бизнеса, где одну из ключевых ролей играет защита информации.






Дополнительно

iXBT BRAND 2016

«iXBT Brand 2016» — Выбор читателей в номинации «Процессоры (CPU)»:
Подробнее с условиями участия в розыгрыше можно ознакомиться здесь. Текущие результаты опроса доступны тут.

Нашли ошибку на сайте? Выделите текст и нажмите Shift+Enter

Код для блога бета

Выделите HTML-код в поле, скопируйте его в буфер и вставьте в свой блог.