Пример простой защиты информации на VMWare

    По роду деятельности в разных собственных проектах мне приходится заниматься одновременно и win/web-программированием, и дизайном, 3d-анимацией, администрированием своих серверов. А еще пользоваться вебманями, серфить, качать ключики с опасных сайтов, ставить и тестить различный сомнительный софт и пр. Очень часто подключаю к компу всякие новые девайсы.

    Если все это делать в одной инсталяции виндов, рано или поздно она отупеет и придется переустанавливать все заново. Так же можно неаккуратно подцепить какого-нибудь троянчика или вирус (хотя в моем случае маловероятно).

    На фоне общей паранойи по it-безопасности нашел для себя прекрасное решение — использование разных виртуальных машин под каждый конкретный спектр задач.

    Как сделано у меня:
    1. На VMWare поставил XP, накатил SP3, поставил Far и Office — это необходимый минимум почти для каждой задачи
    2. Для первой машины сделал linked-клонов (новая машина ссылается на первую, как на базу) для серфинга (и тестов сайтов в разных браузерах в конфигурации «по-минимуму», «со стандартными плагинами»...) и для тестирования новых программ. Они после каждого выключения машины возвращаются в первоначальное состояние — таким образом даже если в систему попадет какая-нибудь нечесть, она так же быстро и исчезнет. Помимо этого, скорость работы машин всегда примерно одинаковая
    3. Так же на основе базовой машины сделал Design-версию, куда установлен Photoshop, Illustrator, Flash, DW, Apache, PHP и т.п. Эту машину я использую как базу для виртуальных машин, созданных под определенные проекты, в которых необходимы дизайнерские способности. Таким образом мои проекты разнесены по разным виртуальным машинам и их настройки не пересекаются. Все сайты располагаются на 127.0.0.1, у всех одни и те же настройки БД. Аналогично для программирования — каждый проект на своей машине-клоне. Везде есть MSVC, Delphi, Eclipse, Python, PHP, необходимые сервера с базовыми настройками. Машины с проетами не выключаются, а уходят в sleep-mode — таким образом легко вспоминаешь, на каком месте закончил.
    4. Для e-денег я создал клона на маленькой флешке, на которой кроме этого ничего нет. Занимает не много и без основы не работает. Есть снепшот для быстрого старта. После выключения машины возвращается в прошлое состояние (никакой истории, троянчиков и т.п.). Лежит в бумажнике :)
    5. А на основной машине установлен антивирус, файервол, офис, почта и винамп. И еще 3DMax (все таки рендер — довольно напряжная процедура). Все.

    У этой модели есть свои бяки:
    1. Повышенный расход дискового пространства — VMWare не удаляет файлы на диске, а помечает их удаленными на своем виртуальном диске. Если бы не linked-клоны, можно бы было чистить машины, но тогда каждый клон весил минимум 3-4 Гб. Лечится заменой винта на огромный.
    2. Невозможность запустить больше 2 машин — не хватает оперативки. Для работы с фотошопом необходим минимум пол-гига на машину. А если при этом запускается еще какой-нибудь софт — гиг. Поэтому реально запущена только 1 машина.
    3. Апдейты приходится накатывать на каждую машину в отдельности.
    4. Для запуска виртуальной машины требуется время (выделение памяти, загрузка винды если не в слипмоде)

    Среди преимуществ особо хочу выделить отсутствие приязки к определенным физическим носителям и возможность быстрого копирования виртуальных машин на другие компьютеры без необходимости установки софта (кроме VMWare). Недавно переустановил винду «со всем софтом» за час. Или например, нужно было замутить сетевой рендеринг в лаборатории. Вместо установки 3DMax, Vray, настройки и копирования всех файлов на каждый компьютер, просто клонировали с сетевого диска уже настроенную машину и вперед.

    Ну и конечно главное — безопасность. Кто из вас хранит ключи от банк-клиента или вебмани в папке C:\E-Money\

    ЗЫ: Еще один очень значимый плюс — возможность сбора архива проектов именно в том состоянии, в котором ты их закончил. Взял DVD, скопировал на диск, открыл — ничего не надо устанавливать.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 29

      0
      насчет преимуществ из последного абзаца - вы не дооцениваете преимущество back-up-a.
      А быстрое засорение винды... Мм. ну если одним компьютером все время пользоваться, то он тоже быстрее может поламаться, хотя как показывает практика - не факт ).
      Способ право на жизнь конечно имеет, и какая то доля смысле в этом есть, но для крупных проектов к сожалению не жизнеспособна. Точнее то, что для проекта создаеться своя машина со своим окружением - это классно. И что её можно перенести с одной машины на другую без проблем - это тоже плюс и очень важно. И это один из стандартов в разработке проектов сильно разделенный во временном, пространственном и других измерениях(тоесть сегодня одно подразделение разрабатывает, через год другое например в Америке дорабатывает совсем другой модуль). Но вот только IDE устанавливать в вирт машину - это слишком и делаеться это только в самом крайнем случае. Ибо если проект без эмуляции компилиться(инкрементный билд) более 10 минут, то на виртуальной машине нужно прибавить еще минут 7-10. Говорю это не по наслышке(рабочая машина hi-end конфигурации).
      Но для мелких проектов может и гуд, хотя наверное все же излишество.
        0
        По последнему абзацу: фишка вся в том, что закончив какую-то работу в два щелчка мыши стандартными средствами винды создаем бекап, который может на голой машине так же в два щелчка мыши восстановить тот момент, на котором работа была закончена. Я для себя проще способа найти не смог.
        В по IDE на VM - тупит сильнее, но в моем случае несущественно 8) В крайнем случае, если такой большой проект, можно и отдельную тачку под компиляцию поставить :)
        0
        Немного откомменчу.
        По работе так же приходится держать зоопарк из разных осей. Не линкую, ибо надо много разных: ХП(вариации браузеров и сервиспаков), Висты (сервиспак, ие7/8, ФФ, защищенный режим браузера вкл/выкл, UAC вкл/выкл), 2к с разными настройками, 2к3 с разными настройками, 2к8 с разными настройками + разные варианты никсов.

        Настройка зоопарка заняла неделю, каждая ось имеет по нескольку снимков с разными JVM и комплектом софта.

        Минус - 500 гб перманентно занято зоопарком.

        Плюс - спокойно могу запустить 3 серверных оси и 4 клиента одновременно (тестируются только клиент-сервер веб-приложения - операционки справляются с 128-512 метрами памяти), при выяснении глюков в одном из клиентов поиграть с ним, вполть до переустановки.

        Host PC - Ubuntu 7.10, 4gb, Core Duo E6***
          0
          Хороший хост 8) У меня ноут с 1.5 гигами памяти. Выручает 7200 винт
          +4
          Батенька.... Да вы маньяк )))
          Виртуальная машина - ВЕСЧЬ!
            0
            ну тут как бы нет никакой привязки к VMWare.
            Всё тоже самое можно делать в любой среде виртуализации (http://en.wikipedia.org/wiki/Comparison_of_virtual_machines)
            главное при большом парке виртуальных машин - не забывать, в какой среде ты находишься сейчас, в гостевой или хостовой =)
              0
              Чую скоро появятся вирусы для виртуальных машин, которые будут использовать уязвимости не операционной системы и конкретной виртуальной машины. Или будут мегавирусы, которые используют уязвимость операционной системы хоста, гостя и самой виртуальной машины.
                0
                Да Вы параноик!
                  0
                  Использование виртуализации не может повысить it-безопасность.
                  http://www.ixbt.com/cm/virtualization-security.shtml
                  http://algonet.ru/?ID=639889
                    0
                    Первый линк отличный. В заключении (многабукавничита) написана одна очень грамотная фраза:

                    В условиях необходимости защиты конфиденциальной информации виртуальные машины требуют повышенного внимания, хотя они и, напротив, могут использоваться для обеспечения безопасности (например, для изоляции критически важных систем друг от друга).

                    Вот именно этим я и занимаюсь 8)
                      0
                      Точно так как и использование антивирусов и фаерволов? :))) Использование виртуализации повышает ит-безопасность(!!), но это не панацея.
                      Хм.. Интересно, почему же продвинутые антивирусы запускают вредоносные(и не только:) процессы в собственной виртуальной машине, а не на реальном ядре..
                    0
                    Мммм.. Такие вирусы уже есть. =)
                    0
                    У компании Paralles есть продукт virtuozzo for windows. Я его пока еще не видел, но с удовльствием пользуют OpenVZ. Думаю этот продукт сможет решить проблему производительности.
                      0
                      Проблема с апдейтами решаема, как ни странно, установкой еще одной виртуальной машины с серверной версией винды с сервером обновлений.
                        0
                        Если работать в основном только на виртуальных машинах, то в качестве хостовой ОС луше использовать что-нибудь специально для этого предназначенное, например VMware ESX Server. Это даст заметный прирост производительности в виртуальных машинах. Так как сейчас во всех новых выпускающихся процессорах есть набор логики для аппаратного поддерживания виртуальных машин, гостевые ОС будут довольно резво работать.
                        Другой вопрос - это лицензирование гостевых ОС. Если данный метод использовать как политику какой-либо конторы и у каждого пользователя будет по две, три лицензионных ОС... никаких денег не хватит.
                        Как альтернатива предложенному методу, я видел в одной конторе сеть, где все рабочие станции грузились по сети с одного неизменного образа, хранимого на сервере.
                        Но все эти методы не являются панацеей, ибо зараза может один раз пробить систему, прописаться в файл сохранения и уже распостранятся через него.
                        P.S. вобще хранить конфеденциальные данные не в текстовом виде на внешних носителях, которые редко подключаются - это правильно и рекомендуется всем.
                          0
                          да, а что с лицензированием?
                            0
                            Гостевые ОС должны быть лицензионные. Так как у MS нет лицензий на Windows для виртуальных машин, то придётся покупать полную версию.
                              0
                              это понятно, непонятно — сколько лицензий, и каких. если у меня OEM, то можно её использовать в виртуальной машине? или необходимо купить полную версию?
                              если у меня десяток виртуальных машин, то мне нужно купить десять лицензий? или по лицензии на каждую из одновременно запущенных?
                                0
                                Я не специалист в области лицензий, но, насколько я знаю, лицензированию подлежит каждаю копия программного продукта. То есть потребуется десять лицензий. Что касается OEM лицензий, то они жёстко привязаны к оборудованию с которым они поставлялись и не могут выступать как лицензии для виртуальных машин.
                                  0
                                  а если у меня виндовс установлен на компьютере четыре раза?
                                  рабочая копия, для игрушек, для тестов и про запас? на разные разделы, например. тоже 4 лицензии нужно?
                                  а если я просто бэкап всего раздела делаю — чем не копия программного продукта?
                          –5
                          Что только люди не делают, лиш бы маком не пользоваться :)
                            +1
                            макбук с четыремя гигами позволяет комфортно запускать пару виндов и фряху и еще работать в самом макосе
                              0
                              Ну Вы и параноик :). Мне кажется хватило бы и одной виртуальной машины - для веб-денег, и ту можно попытаться на linux перенести. Да и вообще, пользуйтесь шифроваными разделами + bakup и будет счастье, и все будет на месте.
                              P.S. ну можно еще одну для зловредных программ еще.
                                0
                                а как оно дружит с оборудованием?
                                если хостом линукс, у которого нет драйвера для usb-модема, то заработает ли этот модем в гостевой винде? т.е. может ли гостевая система обращаться к железу напрямую?
                                  0
                                  virtualbox и vmware прокидывают usb порты вовнутрь - http://en.wikipedia.org/wiki/Comparison_of_virtual_machines#Features
                                  0
                                  Столько виртуальных машин нужно только тестерам для создания различных сред окружения при минимуме железа.
                                  Разработчику достаточно проводить грамотную политику сохранения проектов.
                                  Каким боком это относится к информационной безопасности понятно с трудом. Скорее создается иллюзия безопасности. Качественный вирус или руткит из виртуальной машины вылезут и антивирус хоста обойдут.
                                  Так что на мой взгляд идет потеря ресурсов.
                                  Все вышесказанное IMHO.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                      0
                                      Так и я о том же. Потеря ресурсов.
                                    0
                                    какую версию VMWare использовали? Workstation, Server, Player?

                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                    Самое читаемое