Сигурност

Bromium – виртуализация срещу вредоносния код

CIO Media

Съществува мнение, че технологиите за десктоп виртуализация, използвани в решенията на VMware, Oracle VirtualBox и др. могат да бъдат използвани като средство за защита от вредоносен софтуер. Вече има ИТ компании, които са фокусирали дейността си изцяло в това направление. Например компанията Invincea използва технология за виртуализация на Windows десктопи, която позволява браузърът да се изолира от останалата система. Ако бъде идентифицирана заплаха, виръуалната машина просто се унищожава и се пуска отново.

Изолацията на браузъра е добра идея, която други представители на ИТ идустрията развиват допълнително. Компанията Bromium, основана от бивш CTO на Citrix предлага решение, базирано на микровиртуализация.

Технологията Bromium vSentry е малко по-различна от подобни технологии за виртуализация, достъпни за настолни системи, мобилни и облачни платформи. Това е тънък хипервайзор. За разлика от Microsoft Hyper-V и VMware ESX, Bromium vSentry не управлява хардуерни ресурси, а също така не прилича на VMware Workstation или Oracle VirtualBox.


Микровайзорът vSentry работи над операционната система като стандартен десктоп хипервайзор, но при това активно използва разширенията за хардуерна виртуализация (VT-x и VT-d), присъстващи в съвременното поколение процесори x86. Вместо да управлява хардуерни ресурси или създаване на нови инстанции, vSentry строго контролира, по какъв начин се създават и унищожават процеси в основната ОС.

Нещо подобно се използва в Solaris Zones и Parallels Virtuozzo/OpenVZ, където основната операционна система създава копия на себе си в паметта и създава псевдо-сървър с уникални библиотеки на конфигурационните файлове, а хранилището за приложения е напълно изолирано в своя област на паметта, като всичко това се изпълнява над разпределено ядро.  
Обикновено това се нарича виртуализация на операционната система – ефективен способ, който най-често се свързва с Linux и UNIX системи. Изследователското подразделение на Microsoft също реализира разработки в тази насока и дори публикува няколко научни доклада за работата си по проекта Drawbridge, който има някои общи черти със Solaris Zones и OpenVZ и включва някои архитектурни подобрения на базовата идея. Но все още тази технология не присъства в Windows.

Основната задача на Bromium и микровиртуализацията изобщо не е увеличаване на плътността или по-добро оползотворяване на ресурсите в центъра за данни – това са само положителни странични ефекти. Главното е възможността за виртуализация на всеки процес, стартиран от потребител или приложение.


Архитектурата на Bromium е изградена така, че всеки път, когато се пусне приложение, то се отваря в изолирана виртуална машина - Micro-VM. Виртуалната машина взема приложението под контрол и му предоставя само тези ресурси, които действително са му необходими. Например приложението не може да получи достъп до всички библиотеки, а само до тези, които са необходими за неговата работа.
Някои приложения пускат наведнъж по няколко процеса. Например в някои браузъри всеки панел е отделен процес. Така всеки панел и всяко разширение получават собствена виртуална машина. Няма никакви дъщерни процеси, има само паралелни Micro-VM в доверения кръг на микровайзора.
След като даден процес завърши, Miro-VM, в която той е работил се унищожава. Ако чрез този процес в системата е проникнал вредоносен софтуер, той ще бъде унищожен заедно с виртуалната машина.

Специалистите на Bomium предлагат също така концепцията “копиране при запис”. При обращение към системни ресурси от типа на DLL и потребителски профили, те се клонират и по-нататък се ползват именно клонингите. Така оригиналните файлове не могат да бъдат заразени или повредени при атака.

Наред с това, Bromium постоянно проверява всяка Micro-VM за наличието на някакви признаци за атака или присъствие на вредоносен софтуер.
Например ако вие посетите някакъв сайт и попаднете на капан от  тип пренасочване или фишинг, ще влезе в действие т.нар. LAVA  система (Live Attack Visualization and Analysis). Тя използва поведенчески характеристики на атаката, за да определи необходимо ли е да се изключи виртуалната машина и да се съобщи на потребителя, преди реално да има взлом. Системата може да идентифицира и доста сложни атаки, включително използващи полиморфизъм и руткити.

Bromium възнамерява да публикува споменатите поведенчески шаблони като отворен стандарт.
За сега Bromium vSentry не може да работи непосредствено върху хардуера в Windows системи. Но няма пречки за внедряването на тази архитектура в съществуващи хипервайзори, така че да се осигурява изолация на процеси за облачни десктопи чрез VDI. Съвсем успешно Bromium vSentry може да се ползва в Microsoft RDS или Citrix XenApp.

Технологията може да бъде пренесена под Linux и дори под OS X. Освен това, когато технологиите за виртуализация стигнат до ARM процесорите (а това би трябвало да стане в близките години), същите принципи могат да се прилагат и на мобилни устройства.

 






X