Bromium: En virtualiseringsteknik för att döda alla skadliga program, för evigt

För några år sedan skrev jag en spekulativ bit om hur off-the-shelf x86 desktop virtualiseringsteknik som VMware, Parallels och Oracle VirtualBox skulle kunna användas som ett medel för att försvara datorer mot alla typer av skadliga attacker.

Webbläsarskydd: The Next Generation, Invincea ger dig Windows webbläsaren deflektorskärm för Real.

Jag kallade det teoretiska teknik “Browser deflektorskärm” frammana den defensiva kraftfältet teknik från “Star Trek.

Strax efter, ett företag som heter Invincea genomfört faktiskt något som liknar vad jag beskrivit.

Virtualisering, VMware stärker vSphere uppdaterar Horizon, Workspace ONE produkter, Cloud, VMwares nästa spel: Hantera alla moln för företag, datacenter, Nutanix köper PernixData, Calm.io i ett försök att stärka sin moln ambitioner, datacenter, Nvidia lanserar virtuell GPU övervakning, analys

Invincea använder värdbaserad virtualiseringsteknik på Windows-datorer för att ge isolering för webbläsaren, samt en egen upptäckt motor som kommer att förstöra och återställa den virtuella maskinen om någon skadlig kod upptäcks.

Medan isolera webbläsaren är verkligen en bra idé, kan det finnas ett bättre sätt att skydda stationära PC-användare från skadlig kod. Att tekniken är mikro virtualisering, eller en “Microvisor.”

Jag hade en chans denna vecka för att tala under en tid med Simon Crosby, grundare och chefstekniker på Bromium, ett företag som är en av de första på marknaden med en Microvisor säkerhetslösning för stationära datorer, kallad vSentry.

Om Crosby namn ringer en klocka, det är därför han var tidigare chefstekniker på Citrix, och är en av grundarna av XenSource, företaget som först kommersialiserade Xen hypervisor, samma som driver kärnan i Amazon Web Services (AWS) och dess EC2 offentliga moln. XenSource förvärvades av Citrix Systems under 2007.

Bromium vSentry är helt annorlunda från andra virtualiseringsteknik som finns i datacentret och på skrivbordet eller ens i mobil idag.

vSentry är en “tunn” hypervisor och inte hantera hårdvaruresurser som en typ 1 hypervisor, liksom Microsofts Hyper-V, som är inbyggd i Windows 8 Pro och Windows Server 2012, eller som VMware ESX som en del av vSphere / vCloud suite , eller till och med Xen för den delen.

Det skall heller inte beter sig som eller utför samma funktion som en typisk typ 2 skrivbordsvirtualisering produkt, som VMware Workstation, Parallels Desktop eller Oracle VirtualBox.

Den vSentry microvisor sitter ovanpå ett befintligt operativsystem som hanterar hårdvaruresurser som typ-2 hypervisor kanske, men det gör tung användning av virtualiseringstillägg (VT-x och VT-d) som finns i den nuvarande generationen x86-processorer.

Och istället för att hantera hårdvara, strikt klarar det hur operativsystemprocesser skapas och förstörs, snarare än att skapa nya förekomster av en värd själva operativsystemet.

Den närmaste typ av teknik jag kan jämföra en microvisor som Bromium vSentry till är något som en “container” lösning, såsom Solaris Zones eller Parallels Virtuozzo / OpenVZ, där en rot / privilegierade operativsystem kopior ut kloner av sig själv i minnet för att skapa pseudo -servers med unika bibliotek, konfigurationsfiler och programlagrings alla isolerade i sin egen region av minne, alla kör på toppen av en gemensam kärna instans.

Detta är också kallad “OS virtualisering.”

OS Virtualisering är ett mycket effektivt sätt att virtualisera servrar och applikationer, men har mestadels varit begränsade till UNIX och Linux utrymme.

Microsoft Research har genomfört en del inledande arbete och har publicerat flera akademiska uppsatser på ett operativsystem virtualisering projekt kallat “Vindbrygga”, som har många av de samma egenskaper som Solaris Zones och OpenVZ, liksom några betydande arkitektoniska förbättringar av grundkonceptet. Men hittills har det inte gjort sin väg in i Windows.

(Jag inser det här låter väldigt nördigt och borderline nerdy, och de flesta av er nickar på denna punkt, men bär med mig.)

Bromium s och mikro virtualisering viktigaste syfte är inte att virtualisera applikationer eller operativsystem för att öka datacenter densitet och maximera resursutnyttjandet, även om det kan vara en trevlig bieffekt. Syftet med Bromium vSentry är att virtualisera varenda process som lanseras av en användare eller lekt med en ansökan.

Fortfarande med mig? OK bra. Här är en bild som kastar lite mer ljus över detta.

I Bromium systemarkitektur, varje gång användaren bränder upp ett program – och låt oss säga för enkelhets skull att detta är en webbläsare som Internet Explorer, Firefox eller Chrome – det är isolerade i sin egen virtuella maskin som kallas en “Micro- VM “.

En Micro-VM sätter programmet på en “need-to-know” -basis, och endast bestämmelserna ut exakt vad den behöver för att fungera. Till exempel, betyder inte ha tillgång till varje bibliotek på systemet, bara de som den behöver för att köra.

Ansökningar kan ha flera processeses körs inom dem, såsom flera flikar i en webbläsare. I detta fall skulle en webbläsarflik liksom alla insticksprogram i dem ges sin egen Micro-VM. Det finns inga “barn” virtuell maskin processer, endast parallellt Micro-VM processer, alla kör inom microvisor s “ring av förtroende”.

Nu här är där det blir intressant. När ansökan eller processen i programmet är stängd, att Micro-VM dör också. Skadlig kod som kan ha kommit in i systemet via denna process förstörs tillsammans med det.

Bromium införs också begreppet “copy-on-write” vilka kloner ut systemresurser som dynamic-link libraries (DLL) samt saker som användarprofiler och data i temporärt minne, så den ursprungliga kopian kan inte påverkas om en attack sker .

Men Bromium också i förebyggande syfte inspekterar varenda Micro-VM för kontrollampa tecken på en skadlig attack, och använder crowdsourcing för att bestämma om processen att attackeras.

Till exempel, om du besöker en hemsida och få hit med en omdirigering / cross-site scripting eller nätfiske, använder det vad företaget kallar Live Attack Visualisering och analys (LAVA), som använder beteendetecknandet av attacken som visar att det måste stänga den virtuella maskinen och meddela användaren innan kompromissen faktiskt sker. Detta inkluderar sofistikerade malware attacker inklusive de som utnyttjar polymorfism samt rootkits och boot-kit.

Bromium avsikt är att dela dessa beteendemönster genom en öppen standard, så att alla anti-malware produkter samt projekt med öppen källkod kan skörda frukterna.

Idag är Bromium vSentry begränsad till att köra “on-the-metal” på Windows-baserade stationära datorer och servrar, och för närvarande inte kan sitta ovanpå en befintlig hypervisor plattform. Men det finns ingen anledning till varför denna arkitektur inte skulle kunna genomföras i befintliga hypervisor plattformar för att erbjuda denna process isolering för Desktop-as-a-Service (Daas) genom en Virtual Desktop Infrastructure (VDI) eller virtualiserade sessionsbaserade datorer.

Bromium vSentry kan arbete med sessionsbaserad stationära datorer nu, med hjälp av ett “på metallen” session värd som kör Microsoft RDS eller Citrix XenApp.

Den grundläggande tekniken kan också portas till Linux, eller ens till Mac. Dessutom, när virtualiserings acceleration teknik gör sin väg till ARM-baserade SoCs under de närmaste åren, samma principer för mikro virtualisering kan även användas på mobila enheter också, bland annat smartphones och surfplattor som kör olika operativsystem.

Kan mikro virtualisering vara mördaren tekniken som frigör världen från skadlig kod en gång för alla? Prata tillbaka och låt mig veta.

VMware stärker vSphere uppdaterar Horizon, Workspace ONE produkter

VMwares nästa spel: Hantera alla moln för företag

Nutanix köper PernixData, Calm.io i ett försök att stärka sin moln ambitioner

Nvidia lanserar virtuell GPU övervakning, analys