Вопрос или проблема
Объяснение Microsoft понятия “безопасность на основе виртуализации” недостаточно. Они не объясняют, как это функционирует или что оно может делать, кроме сегрегации памяти. Что конкретно оно включает? Запускает ли оно программы с ограниченным доступом к файловой системе? Это похоже на gVisor?
Ответ или решение
Что такое виртуализация на основе безопасности (Virtualization-Based Security, VBS)?
Виртуализация на основе безопасности (VBS) — это подход к обеспечению безопасности информационных систем, при котором для защиты критически важных процессов и данных используется технологии виртуализации. VBS активно применяется в экосистеме Microsoft, особенно в Windows 10 и Windows Server, и представляет собой многоуровневую архитектуру защиты.
Как функционирует VBS?
-
Изоляция памяти: Одной из ключевых функций VBS является разделение памяти между защищенными и неподконтрольными процессами. Это достигается через использование hypervisor, который создает «изолированную» среду выполнения для приложений. В такой среде к критически важным системным ресурсам и данным доступ имеют только авторизованные программы.
-
Пространства доверия: VBS создает доверенные среды, в которых выполняются безопасные операции, такие как управление доступом, аутентификация и обработка конфиденциальной информации. Благодаря этому, даже если вредоносный код проникнет в систему, он будет ограничен в своих действиях и не сможет повредить защищенным компонентам.
-
Поддержка дополнительных технологий безопасности: VBS интегрируется с такими решениями, как Credential Guard и Device Guard. Credential Guard использует VBS для хранения и защиты учетных данных, а Device Guard обеспечивает запуск только тех приложений, которые были предварительно одобрены.
Возможности и ограничения VBS
-
Запуск программ с ограниченным доступом к файловым системам: VBS также может регулировать доступ приложений к файловым системам, обеспечивая тем самым дополнительный уровень защиты для критически важных данных. Это похоже на функции gVisor, который также изолирует среду выполнения, но применяет другие технологии и подходы.
-
Устойчивость к уязвимостям: VBS может защитить систему от многих типов атак, использующих известные уязвимости. Но важно помнить, что, несмотря на свою мощь, VBS не является панацеей и не может обеспечить защиту от всех возможных угроз.
Сравнение с gVisor
gVisor — это решение для контейнеризации от Google, которое создает дополнительный уровень абстракции между контейнерами и операционной системой. Хотя обе технологии направлены на повышение безопасности, они имеют разные архитектурные подходы: VBS ориентирован на защиту операционной системы как целого, а gVisor больше на изоляцию контейнеров в пределах ОС.
Заключение
Виртуализация на основе безопасности (VBS) представляет собой мощный инструмент в арсенале средств обеспечения безопасности, который использует технологии виртуализации для создания защищенных сред. Она предоставляет такие функции, как изоляция памяти, управление доступом и защиту учетных данных, что существенно увеличивает уровень защиты системы. Однако, как и любое другое средство безопасности, VBS не является универсальным решением и должно быть частью многоуровневой стратегии безопасности организаций.