Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties
Bron: VMware

VMware heeft gisteren een nieuwe virtualisatietool gepresenteerd. De software is Assured Computing Environment (ACE) gedoopt en is bedoeld voor systeem- en desktopbeheerders om een beveiligde computeromgeving op te zetten. Deze omgeving draait, net als VMware's Workstation, in een virtuele machine. Het is echter mogelijk om de ACE-desktopomgeving volledig te configureren en rechtentechnisch ver in te perken. ACE zal tegen het einde van het jaar in de winkel komen te liggen en een licentie voor een gewone werkplek zal waarschijnlijk 100 dollar kosten; de licentie voor de beheersmodule zal duurder zijn. Een bŤtaversie van de software is gratis te downloaden. Op dit moment is er alleen een Windows-versie beschikbaar van ACE, een Linux-variant komt later op de markt.

VMware logoHet voordeel van ACE is, zo schrijft VMware in zijn persbericht, dat het mogelijk is om de virtuele machine waarin de software draait volledig dicht te timmeren via het zogenaamde Virtual Rights Management. Op deze wijze kunnen onder andere rechten op het gebied van netwerktoegang en de desktopomgeving ingesteld worden. Een interessante feature is ook dat een virtuele machine een Time To Die (TTD) kan meekrijgen. Medewerkers die voor een beperkte tijd van buitenaf toegang moeten hebben tot een bedrijfsnetwerk, kunnen via een TTD op hun virtuele machine automatisch de toegang ontzegd worden. Ook kan de virtuele machine dan zonder extra ingrijpen verwijderd worden.

VMware ACE Manager (klein)
De beheersmodule van VMware ACE
Moderatie-faq Wijzig weergave

Reacties (20)

Wel mooi... op deze manier gebruik je VMWare als een soort ultieme sandbox. Je kunt op het virtuele "computer" nivo natuurlijk veel meer dingen dichtzetten dan in de software.

Het is een beetje een Droste-effect, maar voor de software die op VM draait, lijken het "fysieke" beperkingen te zijn aan de machine waar het op draait; die is alleen softwarematig, dus configurabel. Het heeft ook wel iets van PC's in de Matrix o.i.d. ;)

Ik hoop wel dat dit geen work-around wordt voor slecht geprogrammeerde OS'en (die je zelf niet kunt vertrouwen secure genoeg te zijn) of slecht geconfigureerde systemen (die je niet genoeg kunt vertrouwen secure te zijn). Want dan heeft deze oplossing weer meer weg van een Eend in de laadbak van een Mercedes gooien om het een veilige auto te maken ;)
Zo'n sand-box achtig concept is een versterking van de beveiligingstaken van het OS, want het vormt een tweede extra beveiligingslaag. Zelfs als het OS helemaal veilig is, levert dit beveiligingsprodukt tevens de mogelijkheid om dezelfde security policies op te leggen aan verschillende OS-en. Da's nou precies het leuke van virtuele machines.
Volgens mij is de Linux-versie van dit programma overbodig. Linux kan namelijk zichzelf in een afgeschermde omgeving draaien. Dit heet User Mode Linux. Wat je dan simpel gezegd doet is Linux binnen Linux starten met de rechten van een normale gebruiker, vandaar de naam.

Voor een beschrijving van UML klik hier
Volgens mij is de Linux-versie van dit programma overbodig. Linux kan namelijk zichzelf in een afgeschermde omgeving draaien.
En Windows onder Linux? Of een ander OS?
Daar heb je Bochs voor. Bochs kan ook een 64bits AMD Cpu emuleren wat VMWare niet kan aangezien vmware niet de cpu emuleert.
VMWare is x86 gebonden, maar bochs kan je zelfs op powerpc draaien. Bochs is wel veel slomer.

Je hebt ook nog plex86. Deze lijkt meer op VMWare alleen is deze minimalistisch en ondersteund alleen linux x86 vanwege de eenvoud.
Er zal heus wel een linux versie komen, zoals met alle andere VMware producten. Het heeft nl. niks met UML te maken of zowiezo het onderliggende OS. De functie van de VMware producten is hardware virtualisatie. Lees de site & recensies maar eerst eens door. Ik gebruik het bv. voor al mijn testomgevingen, echt superhandig. Ik weet alleen niet de toegevoegde waarde van deze extra beschermlaag. Als je het een beetje goed aanpakt via bv. de ?sx server versies, kan je het ook prima dichtzetten...
In de C'T van oktober 2004, ligt nu in de winkel, wordt UML uitgelegd.
Dan zou de Windows versie ook overbodig zijn, ken je softricity? Dat zorgt voor een beschermde omgeving binnen je actieve Windows omgeving waarmee het zelfs mogelijk is om conflicteren drivers langs mekaar te draaien.

Voor VMWare is het vooral het cross-platform wat het zo sterk maakt.
Misschien mis ik iets, maar wat is het voordeel van een virtuele omgeving als je hetzelfde kan doen met 'normale' sofware (ie: Windows Group Policies etc). Waarom zou je zo omslachtig doen door deze software te gebruiken?
Plus het feit dat de computer een stuk langzamer wordt want je draait het os wara vmware als applicatie in draait en in vmware draai je weer een nieuw os.
Als je dus vmware laat vast lopen of uitschakeld zit je op een pc waarop je veel meer kan en die dan waarschijnlijk niet goed beveiligd is
Als je VM-Ware laat vastlopen zit je nergens meer op te werken. De VM-Ware sessie krijgt een appart IP etc. Het is dus wel zaak om het host OS niet toegangkelijk te maken.

Het voordeel van VM-Ware is dat alle ins en outs via VM-Ware moeten. De VM-Ware sessie is niet instaat om toegang te krijgen to externe resources van de Host omdat alle hardware aanroepen (poorten die aangesproken worden etc.) allemaal door VM-Ware moeten (dit kan door de hardware virtualisatie die sinds de 386 zit ingebouwd).

Dit houdt dus ook in dat je er niet om heen kunt door stiekum rechtstreeks de hardware aan te spreken, andere hardware te gebruiken etc. De CPU wordt niet geŽmuleerd maar gedeeld en is dus niet echt veel langzamer. De Hardware wordt wel geŽmuleerd en is idd een stuk langzamer, maar ditr heeft als voordeel dat VM-Ware preciese controle heeft over al de hardware die beschikbaar is en alle communcatie die daar overheen gaat. In weze kan een firewall dit ook, maar die zou mischien nog gehacked kunnen worden omdat deze binnen de sessie draait, plus dat degene die binnen de sessie draait mischien wel admin rechten nodig heeft om zijn software te testen/instaleren, deze kun je dan zonder problemen geven omdat VMWare de rest wel afvangt.

edit:
Nog wat verduidelijkt
1. VMWare werkt ook voor niet Windows OS'en (Linux, Free/Net BSD), en werkt ook op deze OS'en.

2. De computer wordt niet overdreven trager omdat VMWare geen emulator is maar een sort CPU multiplexer.

Wat ik me wel afvraag is of VMWare ook echt wat toevoegd, want het is inderdaad zo dat sommige van deze opties via ook het native OS te regelen zijn.

Als deze VMWare echter geen OS nodig heeft dan wordt het wat anders...
Dit produkt is voornamelijk bedoeld om het computer gebeuren in bedrijven makkelijker te managen, beveiligen en onafhankelijk te zijn van de hardware op de werkplek
Laatst moest ik een samba server stresstesten en kijken of deze goed samenwerkte met wat ik ermee ging gaan doen:

- win98 clients met "roaming" profiles
- win2k clients met roaming profiles
- winxp clients met roaming profiles

Daarbij wilde ik dat win2k en XP zonder enige aanpassingen in register konden joinen op het samba domein.

Wat doe je dan? je pakt 1 PC en die ga je 3x opnieuw installeren met deze OS'en om vervolgens je normale OS er weer op te gooien? Of installeer je VMWare en maak je 3 VMs, mount je je windows ISO en installeer je 3 windows versies tegelijk? (overigens is de installatie van winxp in vmware gek genoeg wel ff een stuk sneller dan op een echte PC :P)

Om testomgevingen op te zetten, vind ik VMWare uitstekend geschikt. Normaal produktiewerk zou ik er overigens niet op willen doen.
Beetje rare naam, Time To Die.

Vind Time To Live toch beter klinken.
Waarschijnlijk hebben ze daar bewust voor gekozen. TTL wordt al voor verschillende toepassingen gebruikt en door het woordje "Die" wordt het nog eens extra versterkt dat de virtuele machine dan niet meer door werkt.
TTL wordt meestal gebruikt voor de tijd dat een sessie inactief is. Na bv. 10 minuten inactiviteit wordt dan die sessie afgesloten.

Als ik 't goed begrijp, is TTD iets van "gebruiker Jantje mag vandaag max. 2 uur een VMWare sessie gebruiken, daarna wordt die sessie afgesloten".
Volgens mij is dit de workstation variant van VMWare ESX, welke maar 1 gast-systeem kan draaien.

Oftewel: een klein stukje software, ergens tussen een boot-loader en een os dat de VMWare omgeving inricht en daarop de mogelijkheid om een VMWare gast te draaien. De fysieke hardware wordt (instelbaar) gemapt op virtuele hardware.

De VMWare gast krijgt alleen maar virtuele hardware welke praktisch altijd gelijk is, ongeacht de onderliggende fysieke hardware. Handig voor grote netwerken met veel verschillende desktop-pc-s. Hoeft ondanks verschillende hardware toch maar 1 image te worden onderhouden.
Inderdaad dan kun je op die PC's een licht OS installeren en daaronder VMWare
Ik denk bij een licht OS aan Damn Small Linux, Deli Linux oid dan houd je nog zat systeembronnen over voor VMware om te gebruiken. Bijkomend voordeel van dit alles onder linux is is dat je de GUI niet hoeft op te starten in windows is dit wel vereist
Zoals al aangegeven zal dit voor Linux niet echt grote voordelen bieden boven UML.

Bovendien kan je met Linux thin clients (als je toch op linux zit) veel beter zorgen dat usb memory sticks niet werken en dergelijke..


Maar al met al is dit een veel beter idee dan de vreselijke beperkingen die Longhorn zal kunnen gaan opleggen, m.n. vanwege de gesloten hardware die met die 'veiligheids'-features gepaard zal gaan. Hiermee doel ik o.a. op usb removable storage dat het nieuwe speciale protocol van MS zal moeten implementeren. Wat dus niet een open standaard is en op andere platformen niet zal werken.

[Taalfout]
Medewerkers die voor een beperkte tijd van buitenaf toegang moeten hebben tot een bedrijfsnetwerk, KAN via een TTD op hun virtuele machine automatisch de toegang ontzegd worden.
Medewerkers is indirect object (meewerkend voorwerp), je kan ook schrijven: "Aan medewerkers..." en 'de toegang' (enkelvoud) is het onderwerp (subject) van die zin, vandaar 'kan' in plaats van 'kunnen'.

Ik weet best dat ik beter een berichtje naar de topic schrijven zou kunnen sturen, maar terugdenkend aan het oude T.net motto: " 'Poeters in je moerstaal" kon ik het niet laten.. :P
[/Taalfout]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True