摘要：Bromium上周发布了vSentry，最终实现了Simon Crosby 和 Ian Pratt在2011年6月离开Citrix时承诺的安全技术。看起来像个急转弯，但是桌面虚拟化行业对思杰前CTO和Pratt可能的采取的增强桌面安全方法已经讨论很久。而答案，简言之就是微虚拟化。

　　微虚拟化如何工作
　　
　　在vSentry中，微虚拟化就是一组虚拟化的独立进程和线程。进程代表系统内实际运行的应用，而线程就是这些进程的子集。“多线程”情况是因为进程支持在不同的处理器上智能运行多线程，为每个线程分配任务并在需要时完成切换。
　　
　　Bromium的vSenty借助微虚拟化，识别新的进程和线程并通过微小的虚机（他们称为微虚机）来运行。这种微虚机通过名为Microvisor的hypervisor进行管理。每个进程和线程都位于自己的微虚机之内，所以可能会同时运行数十甚至数百个。如果您通过标准的虚拟化hypervisor实现这种模式，也就意味着有几十、上百个独立的Windows虚机同时运行。
　　
　　Microvisor的优化通过从宿主机OS孵化微虚机的方式实现，只提取完成虚拟化所必要的数据，并隔离进程和线程。当进程或线程停止，微虚机也被抛弃。
　　
　　Microvisorvs.入侵者
　　
　　vSentry微虚机的优势有很多，但为了理解他们，我们需要回头看一下。Bromium对桌面安全的看法不同于其它的桌面管理领域。
　　
　　传统模式下，我们锁定桌面并安装防恶意和防病毒工具来保护它跟不安全来源隔离。通过部署桌面虚拟化把桌面迁移到数据中心，从而保护它们跟外部的不安全地点分开。但是无论我们采取什么方式保护设备，总是晚坏人一步。
　　
　　BromiumvSentry的首要任务就是保护宿主机不受连接Internet的应用侵害。通过把任何一个进程和线程在微虚机内登陆，它可以在正常使用宿主机OS的所有功能时，实现完全地隔离宿主机和所有发生在IE内的行为。可以配置Microvisor信任特定的站点并在虚拟化方式下不运行它们，例如企业的内联网或SharePoint站点。配置通过GroupPolicy、SystemCenterConfigurationManager、Altiris、McAfeeePO或类似的工具实现。
　　
　　BromiumvSentry对用户是完全透明的，而您将会期待找到一家企业同时拥有虚拟化和桌面环境。实际上，安装过程本身完全是非破坏性的。简单地安装一个MSI文件就可以继续您的业务。除此之外，您要了解在部署vSentry中最重要的一件事情就是确保宿主机是100%干净的。
　　
　　例如，宿主机已经有恶意软件，那么也会自动在所有微虚机内孵化，而且这失去了所有的保护功能。Bromium的vSentry不是一种可以帮助修复桌面环境的管理或安全问题的工具。而仅仅是保持原有环境的状态不变。
　　
　　什么是LAVA？
　　
　　作为vSentry发布的一部分，Bromium同时命名了一个新的LANA（LiveAttackVisualizationandAnalysis）功能。LANA的原理基于每台微虚机都是完全独立的，而且了解每个进程或线程正常的工作状态。根据这些信息，它可以动态地识别恶意软件，甚至在可以其被关闭之前保证完全运行。
　　
　　它可以安全的记录恶意软件的信息，识别恶意软件所使用的签名。这就像一个恶意软件的水族馆，您可以看到所有希望的内容，而当这些工作结束时就把它们全都倒掉，如同一切都未发生过。
　　
　　Bromium由此出发
　　
　　Bromium已经高调进入桌面虚拟化市场，但是成长空间依然很大。vSentry产品仅仅能在支持IntelVT硬件的桌面上运行。Microvisor需要VT来孵化、管理和保护微虚机。
　　
　　Bromium的团队明显反对VDI，所以我猜想在可以看到支持CitrixXenDesktop或VMwareView的工具之前还有一段时间，但并非不可能。我希望可以查明它是否支持RDSH（RemoteDesktopSessionHost）服务器，因为将会有单个OS运行于支持VT的硬件上。这种能力对于RDSH的安全非常有帮助。
　　
　　不要搞错，BromiumvSentry是一个非常高端的虚拟化工具。其宣称的列表价为超过$100，但是很难从该公司获得一个准确性的报价。Bromium的目标客户是企业，所以我敢肯定对于大规模采购一定会有很高的折扣。
　　
　　我找不出客户不使用BromiumvSentry的理由。有史以来第一次，您可以领先Internet滋生的恶意软件和病毒一步。
　　
　　责任编辑：三水