حفاظت از سیستم های مجازی

افتانا - سيستمهاي مجـازي عملكـرد زيرسـاخت كامپيـوتر را ارتقـاء بخشيـده و بـه طـور فـزايندهاي در كـلاينتهـاي شـركت هـا مـورد استفـاده قـرار ميگيـرند. بنابرايـن امنيـت و خصوصا حفاظت آنتي ويـروس آن هـا در قـالـب تـاميـن امنيـت زيرسـاخـتهـاي فيزيكـي بايـد بـه دقـت مـورد تـوجه قـرار گيـرد

مفهـوم مجـازي سـازي
مجازي سازي امكان پنهان سازي عملكردهاي دروني فرآيندهاي كامپيوتري را ميسر ميسازد. مجازيسازي ميتواند در جهت ارائه عملكرد منابع فيزيكي مانند پردازشگر، ديسك سيستمی يا RAM بعنوان مجموعههاي موجود و منابع مستقل منطقی مورد استفاده قرار گيرد. اين كار براي مثال اجراي چندين سيستم عامل را روي يك كامپيـوتر امكانپذيـر ميسازد بطوري كه هريك از آن ها مستقيما با سختافزار فيزيكي كار كنند.

در اين زمان عملكرد سيستم به همان گونهاي كه كاربران با آن آشنايي دارند به نمايش درميآيد. برعكس اين عمل نيز امكان پذير ميباشد به اين معني كه وقتي چندين منبع فيزيكي در قالب يك كامپيوتر قدرتمند كار خود را ارائه ميدهند براي اجراي وظايف سنگين بسيار مناسب هستند. مجازيسازي در درجه اول ضريب كارآمدي سختافزار را افزايش ميدهد و خدماترساني بيشتر به سيستمهاي عامل و كاربري ها را ميسر ميسازد.

برحسب منابعي كه بايد مشابه سازي شوند مجازيسازي به انواع مختلفي تقسيم بندي ميشود. براي مجازيسازي كلي تمامي سختافزارها شبيه سازي ميشوند و نصب هر نرمافزاري روي هر سختافزاري امكان پذير است. در مجـازيسـازي جزئـي تنهـا بخشـي از دستـورالعملهــا
در حالت بومي روي پردازشگر به اجرا درميآيد كه در اين حالت عملكرد ارتقاء مييابد اما طيف پلتفورمهاي مورد استفاده را محدود ميكند.

اما در روش شبه مجازي سـازي نيـازي به شبيه سـازي سـخت افزارها نيست. با اين رويكـرد سيستمهاي عامل مهمـان و ميـزبان با يكديگـر مشـاركت ميكننـد و هسته سيستم عامل مهمان براي اين منظور تغييـر ميكند تا يك رابط كاربـري اختصاصي با سيستم عامل ميزبان ايجاد گردد.

علاوه براين سيستمهـاي مجـازيسـازي وجـود دارنـد كه در سطح سيستم عامل كار ميكنند و به اين ترتيب سيستم عامل منابع

خود را براي راهانـدازي سيستـمهاي مهمان اختصاص ميدهد و در سطح كاربريها در يك «سندباكس» با امكان دسترسي محدود به فايل ها به اجرا درميآيد.

فـوايـد مجـازيسـازي
مجازي سازي منابع كامپيوتري برخوردار از يك دامنه كلي امتيازات است. نخستین امتياز اين كار را ميتوان افزايش كارايي زيرساخت نرم افزار و سخت افزار و كاهش هزينههاي خريد و نگهداري تجهيزات جانبي و نرمافزارها دانست.

تمامي منابع ضروري مانند زمان سي پي يو، حافظه، سيستمهاي ذخيرهسازي و باندپهن شبكه براساس حجم و اولـويت به طور دايناميــك بيـن سيستـمهـاي مهمـان توزيع ميشوند. ماشينهاي مجازي قادرند بدون نياز به ريبوت كردن سيستم و اعلان به كاربر از يك سرور به سرور ديگر جابهجا شوند. جهت جابهجايي آسان بستهها روشي وجود دارد كه براساس آن تمامي نرم افزارهاي ضروري در يك تصوير مجازي جاي ميگيرند. در اين حالت آن ها با سهولت و سرعت بيشتري مورد استفاده قرار ميگيرند و ميتوان آن ها را به يك سرور يا ايستگاه كاري جديد گسترش داد و يا يكي از آن ها را كه در فواصل زماني طولاني مورد استفاده قرار ميگيرد حذف كرد.

بازار سيستم هاي مجازي با جنب و جوش زيادي در حال گسترش است. اين مطلب در خصوص سرورها به عنوان بخشي از زيرساخت IT كه عملكرد سطح بالاي آن ها از اهميت زيادي برخوردار است نيز صدق ميكنـد.

بنـابر اظهار نظر گـري چن، تحليـل گر IDC، سهـم «اكـوسيستم مجازي» از بازار كه ابزارهاي مجازيسازي نرمافـزار، مديـريت سـرورهاي شبيـهسازي شـده، ابـزارهاي نـرمافزاري مرتبـط، تعميـر و نگهـداري و خدمات ابري اکسترنال را در بر ميگيرد تا سال ۲۰۱۳ به ميانگين رشد سالانه ۲/۹ درصد به ۴۶ ميليـارد دلار خواهـد رسيـد.

مجـازي سـازي سيستمهاي كامپيـوتري شركـتی
افزايش كارآیي، ضریب خطا و ثبات معمولا مواردي هستند كه سرورهاي كامپيوتري شركت ها به آن توجه دارند. سرورهاي مدرن از قدرت و كارآمدي سطح بالايي برخوردارند. با اين حال به طور متوسط كمتر از نيمي از پتانسل آن ها مورد بهرهبرداري قرار ميگيرد و غالبا ميزان اين استفاده بين ۵ تا ۲۰ درصد است. كسب و كارهايي كه روي زيرساخت سرور سرمايهگذاري هنگفتي انجام ميدهند معمولا به نتيجه مورد انتظار خود دست نمييابند.

به همين دليل فنآوريهاي مجازي سازي به طور گستردهاي

در سرورهاي شركتها مورد استفاده قرار ميگيرند. مجازيسازي امكان تطبيق چندين سرور منطقی را روي يك سرور فيزيكي امكانپذير ميسازد يا برعكس و علاوه براين قادر است مجموعهاي از سرورهاي فيزيكي را روي يك سرور منطقی ادغام كند ضمن اينكه چنين اقدامي به طرز قابل توجهي قدرت مديريت و ضریب خطا را در زيرساخت سرور ارتقاء ميبخشد.

مجازي سازي بواسطه افزايش تعداد سرورها روي ماشينهاي كم ظرفيت و اختصاص منابع فيزيكي بيشتر به وظايفي كه در اولويت قرار دارند ميزان توازن ظرفيت را انعطاف ميبخشد. براي مثال در آغاز سال مالي زماني كه گزارش هاي سالانه براي ارائه آمـاده ميشوند و نيز قبل از شروع سال جديد و در طول فصل فروش كامپيوترهاي بيشتري را ميتوان به بخش حسـابداري و بخش خردهفـروشي اختصـاص داد.

زماني كه يك ماشين مجازي به يك سـرور الحاقي ديگر انتقال مـييابد، تا زمان اطمينان از تداوم فرآيندهاي كسب و كار به هيچ وجه نبايد ريبوت شود. مجازيسازي به كاهش زمان فرآيند تطبيقسازي كه براي سرور جديد ضروي است كمك ميكند كه البته براي جاي گذاري يك ماشين جديد از طريق تكثير تصوير ساختاربندي شده قبلي تنها به دو دقيقه زمان نياز است. هنگام بروز نقص در سرور، راهاندازي فرآيند پشتيبانگيري از سيستم مجازي براي اجرا به زمان زيادي نيازمند نيست. براي راحتي كار مدیران سیستم ابزارهاي متمركز مديريتي در سرورهاي مجازي مورد استفاده قرار ميگيرد.

سرور VMware ESX بدون سيستم عامل يا هر نرم افزار ديگري روي سرور سخت افزار نصب مي شود.

مجـازي سـازي چنـد سطـحي
سيستم مجازيسازي در سطوح مختلفي عمل ميكند. برخي از آن ها عملاً روي يك سخـت افزار تنها نصـب شده اند و سيستم عامل اختصاصي خود را دارند كه نصب بسياري از سيستمهاي مهمان را امكانپذير ميسازد. معماري سختافزار براي هر نوع سيستم مهمان اعم از پردازشگر، ابزارهاي حافظه و سيستمهاي ورودي/خروجي شبيه سازي و تطبيق داده شده است. سيستمهاي مجازي قادرند روي سيستمهاي عامل نيز نصب گردند. صرف نظر از جايي مانند يك سيستم عامل ميزبان يا سخت افزار لخت كه سيستم مجازيسازي از آنجا هدايت ميشود، عملكرد آن در سطحي بسيار بالاتر از سيستمهاي مهمان قرار دارد.

بازار سيستمهاي مجازيسازي نقشآفريناني مانند VMware، مایكروسافت، Citrix، Parallels و غيره

را روي صحنه خود دارد. بنابر اظهار نظر کارشناسان گارتنر، راهكارهاي VMware محصولات پرطرفدارتري نسبت به بقيه هستند. خط توليد گسترده VMware دربرگيـرنده نرم افزارهايي براي مجازيسازي ايستگاههاي كاري، سرورها و مراكز پردازش اطلاعات و نيز زيرساخت مجازيسازي شده مديريت ميباشد.

حفـاظـت از سيـستمهـاي مجـازي
جـداسـازی
جداسازی و تفكيك يكي از مهمترين پيشنيازهاي اطمينان از درستي عملكرد و قابليت دسترسي به اطلاعات است. فرآيندهاي كامپيوتري ناهمگون و اطلاعات پردازش شده بايد در هر سيستم كامپيوتري تفكيك گردند. از اين منظر، مجازيسازي ميتواند تركيبي از همه اين موارد باشد. اين فرآيند از يكسو قادر است سيستمهاي اطلاعاتي را يكپارچه سازي كند و جداسازی كامپيوترهاي فيزيكي را از بين ببرد از سوي ديگر روي ماشينهايي كه تفكيك اطلاعات در آن ها صورت نگرفته است قبل از عمل پردازش محيطهاي جداگانهاي ايجاد نمايد. براي مثال مجازيسازي به مديران اجازه ميدهد تا از طريق محيطهاي مجزا روي يك كامپيوتر به پردازش اطلاعات از كلاينتهاي كامپيوتري و نيز اطلاعات كاري و شخصي خود بپردازند. از سوي ديگر كاربريها و اطلاعات متضاد و ناهمگون نيز روي يك سرور قابل ادغام ميباشند.

نـرم افـزار بيشتـر – آسيـب پذيـري بيشتـر
سيستمهاي مجازي و غيرمجازي ، منابع فيزيكي شامل پردازشگر، RAM، حافظه و ابزارهاي شبكه و ورودي و خروجي را به كار ميگيرند. وجود يك سطح مضاف و تصنعي در قالب يك سيستم مجازي به معناي نصب برنامههاي كمتر و عدم نياز به حفاظت نيست. بالعكس، ماشينهاي جديد و مجازي و ناظرهاي ماشينهاي مجازي در زيرساختها،ميزان برنامهها و ريسك آسيبپذيري را افزايش ميدهند.

سيستمهاي مجازي تقريبا با هر نـرمافـزاري آسيبپذيرند و حتي پرطـرفدارتـرين آن ها ماننـد محصولات VMware نيز توجه بسياري از هكرها را به خود جلب ميكنند. نياز به سيستمعاملها،برنامهها، خدمات و ايستگاههاي كاري كه بعنوان يك سرور فيزيكي واحد عملكرد خود را آغاز ميكنند حاصل پياده سازي يك زيرساخت مجازي است. بيشتر آسيبپذيريهاي ايجاد شده راه را براي حمله مهاجمان به سيستم عامل نه تنها از طريق كاربريها بلكه از طريق ميزبان/سيستم مجازي ناظر كه از حقوق خاصي برخوردار است هموار ميسازد كه بسيار خطرناك است.

براساس پيشبيني گارتنر (Gartner) در سال ۲۰۱۲ شصت درصد از سرورهاي مجازي سازي شده از سطح امنيت

پايين تري نسبت به سرورهاي فيزيكي جايگزين برخوردار خواهند بود. اما در اين بين، قوانين و مقررات موجود هيچ فرقي بين سيستمهاي كامپيوتري فيزيكي و مجازي قائل نيستند و براي هر دوي آن ها درخواستهاي حفاظت اطلاعات يكساني را در نظر ميگيرند. كلاينتها برخلاف سيستمهاي فيزيكي در خصوص از دست رفتن اطلاعات ذخيره شده روي سرور مجازي تحمل بيشتري از خود نشان ميدهند.

حملـه به سطـوح مختلـف
سيستمهاي مجازيسازي از يك سيستم مجازي ناظر، يا سيستم ميزبان و يك لايه مديريتي برخوردارند كه در صورت انجام تطبيقات لازم از امكان كنترل تمامي كامپيوترها برخوردار خواهند بود. زماني كه يك برنامه مخرب به سيستم مجازي ناظر يا ميزبان نفوذ ميكند قابليت اين را دارد كه آزادانه هر نوع دستورالعملي را روي پردازشگر به اجرا بگذارد.

سيستمهاي ميزبان عليرغم اين حقيقت كه حيطه كاري آن ها توسط ميزبان يا سيستم مجازي ناظر كنترل ميشود از آسيب پذيري زيادي برخوردارند. تمامي دستورالعملها يا دست كم دستورالعملهاي داراي اولويت كه براي پردازشگر ارائه ميشوند توسط برنامهاي در لايه زيرين شبيهسازي ميگردند. سيستم ميزبان يا ناظر مجازي امنيت عملكردهاي صورت گرفته توسط سيستم عامل مهمان را تحليل نميكند و معمولا از يك سيستم منطقی مرتبط برخوردار نيست.

زماني كه يك هكر به يك سيستم مهمان نفوذ ميكند به اطلاعات روي آداپترهاي شبكه مجازي دسترسي مييابد و قادر است به ترافيك بين سيستم عاملهاي ميزبان و مهمان نفوذ كرده و سيستم مجازي ناظر يا ميزبان را مورد حمله قرار دهد. حتي اگر كارت شبكه مجازي به حالت غيرفعال باشد، سيستم مجازي ناظر يا ميزبان توسط آلودگي از طريق فولدرهاي به اشتراك گذاشته شده تهديد ميشوند.

رابطـه امنيتـی و نـوع مجـازي سـازي
سيستم هايي كه به طور افقي و يا عمودي تفكيك شده باشيد با آسيبپذيري بيشتري روبرو هستند كه به عنوان مثال ميتوان از سيستمهايي كه تبادل اطلاعات بين سيستمهاي عامل غيرقابل كنترل است نام برد. استفاده از سيستم عاملهاي آسيبپذير و سيستمهاي نصب شده فاقد امنيت را ميتوان به مجازيسازي غيرامن تعبير كرد خصوصا زماني كمه عملكرد سيستم عامل آسيبپذير در قالب سيستم ميزبان باشد.

نحـوه حفـاظت از سيستـمهـاي مجـازي
جهت اطمينان از حفاظت كامل از يك كامپيوتر بايستي تمامي بروزرسانيهاي سيستم عامل ميزبان و سيستم مجازي ناظر/ميزبان نصب شده و خدمات غيرضرور و بلااستفاده غيرفعال گردند.

جهت فراهم آوردن يك حفاظت كامل براي محيط مجازي، بايد يك راهكار حفاظتي با سطح

كيفيت بالا نصب شده و مرتبا بروزرساني گردد. اين نوع حفاظت بايد كاملا جامع و فراگير بوده و تمامي ابزارهاي امنيتي ضرور شبكه و محلي را دربرگيرد.

محصولات حفاظت از سرور كسپرسكي اخيرا به مجوز VMware مجهز شدهاند و ميتوانند نمونه خوبي براي اين نوع راهكارها باشند. آنتي ويروس كسپرسكي ۸ جهت به كارگيري در Windows Servers Enterprise Edition ،Lotus Domino، Microsoft ISA Server و Forfront TMG Standard Edition و پس از گذراندن آزمايشهاي نرمافزاري VMware Ready Application مجوز VMware را از آن خود كرده است.

براساس نتايج بدست آمده از اين آزمايشهاف برنامههاي آنتي ويروس كسپرسكي براي سروها به آساني و بدون هرگونه نقص يا عملكرد تاثيرگذار به خصوصي در سيستمهاي VMware قابل ادغام است.

عملكرد راهكارهاي مجوزدار VMware روي سرورهاي فيزيكي بطور همهجانبهاي نمايان است. خطوط VMware در هـر محصـولـي شـامـل ســرور VMware ESX/ESX ادغـام ميشوند و مانند سرورهاي فيزيكي، سطح امتياز امنيتي آنها يكسان است. راهكاري حفاظتي كسپرسكي روي سيستم عاملهاي ميزبان و مهمان و روي سروهاي مجازي و فيزيكي قابل نصب است. شركتها با استفاده از محصولات يك فروشنده خاص كه يكپارچگي و مديريت سيستم امنيتي را تسهيل ميكند فرصت حفاظت از تمامي زيرساختهاي كامپيوتري شبكه را دارند.

نتـيجـه گيـري
مجازي سازي يكي از فنآوريهاي اطلاعاتي كليدي است كه توسط كسب وكارها مورد استفاده قرار ميگيرد. هم اكنون عرضهكنندگان ماشينهاي مجازي و راهكاري حفاظتي در تشريك مساعي با يكديگر به طور فزايندهاي به فعاليت مشغولند و با توجه به محصولاتشان دسترسي به رابطهاي كاربري برنامه و ساير اطلاعات را فراهم ميآورند. البته تبهكاران اينترنتي نيز توجه زيادي به سيستم هاي مجازي دارند.

حفاظت ناكافي و نامناسب ميتواند تمامي امتيازات فراهم آمده توسط مجازيسازي را خنثي كند. سيستمهاي مجازي نيازمند حفاظت كامل و همهجانبه هستند و دامنهاي از فـاكتورهـاي بخصوص بر امنيت آن ها تاثيـرگـذار است. با گستـرش بكارگيري سيستـمهاي مجـازي، حفظ امنيـت آن ها مـيتوانـد مسئله بسيار مهمي باشـد و ظهور راهكـاري آنتي ويـروس جديد و خاصي را در بازار موجب گردد.

حتي اگر هنوز زمان اين كار فرا نرسيده باشـد، كاربـران بـايـد بـه كمك محصولاتي كه قابليت و صلاحيت آن هـا در خصــوص حفـاظت از سيستمهـاي مجازي سـازي شـده به اثبات رسيده است درصدد تامين امنيت كامپيوترهاي مجازي باشند.