Sandbox to specjalnie wyizolowane środowisko IT o szerokim zastosowaniu w zakresie testowania oprogramowania i poprawy bezpieczeństwa, korzystające z przydzielonych zasobów hosta. Sandboxing umożliwia otwieranie podejrzanych plików wykonywalnych, sprawdzanie linków pochodzących z niezaufanego źródła czy weryfikację bezpieczeństwa witryn za pomocą wyszukiwarek internetowych. Uruchamiane w „piaskownicy” oprogramowanie ma bardzo ograniczony dostęp do systemu operacyjnego, sieci oraz urządzeń znajdujących się w jej obszarze. Popularnym sposobem tworzenia sandboxa jest wirtualizacja.

Podstawową cechą sandboxa jest naśladowanie „standardowego” środowiska. Testowane w nim potencjalnie złośliwe oprogramowanie nie jest więc w stanie wykryć, że zostało uruchomione w specjalnie przygotowanym środowisku.

Sandboxing to także podstawa pracy programistów, którzy mogą w ten sposób testować nowe oprogramowanie bez wpływu na pozostałe komponenty systemu. W ramach sandboxingu możemy uruchomić kilka różnych systemów operacyjnych na jednym serwerze, symulujących różne środowiska.

Warto dodać, że do przetestowania możliwości sandboxingu nie są potrzebne duże inwestycje. Wiele tego rodzaju rozwiązań dostępnych jest za darmo – nierzadko jako aplikacje przeglądarkowe. Przykładem jest Virustotal.com – działający online sandbox, który pozwoli przeanalizować podejrzane pliki, domeny czy adresy, a co za tym idzie, uniknąć złośliwego oprogramowania oraz wirusów.

Oczywiście tego rodzaju darmowe narzędzia mają swoje ograniczenia, które mogą kolidować z regułami bezpieczeństwa w firmie:

• Część z nich wykorzystuje analizowane pliki do rozwoju własnej platformy.


• Nie mamy pewności jak, gdzie i czy w ogóle przechowywane są pliki oraz na jakich zasadach się nimi administruje.


• Dane, które udostępniamy w ramach darmowej wersji, mogą być dostępne dla innych użytkowników płatnej wersji oprogramowania (pochodzących także spoza Unii Europejskiej).


• Darmowe wersje są też często bardzo ograniczone pod względem liczby analizowanych składników w określonym czasie. Dają jednak dobre rozeznanie w temacie i pozwalają przetestować działanie piaskownicy na własnym przykładzie.

Sandbox jest koncepcją, którą można realizować na kilka różnych sposobów. Najpopularniejsze rozwiązania to:

• Sandbox w drodze wirtualizacji. To rozwiązanie dające w pełni wyizolowane środowisko testowe o najwyższym poziomie bezpieczeństwa, dzięki stworzeniu całkowicie nowej maszyny wirtualnej (VM) w ramach jednego fizycznego serwera, która idealnie naśladuje serwer fizyczny. Rozwiązanie ma jednak wadę w postaci bardzo wysokiego wykorzystania zasobów (szczególnie w przypadku wykorzystania hypervisora typu 2).


• Konteneryzacja jako prawdopodobnie najczęściej wykorzystywany sposób tworzenia sandboxa. Popularny szczególnie wśród testerów i programistów. Pozwala zaoszczędzić zasoby serwera, szybko tworzyć nowe lub usuwać kolejne sandboxy, zgodnie z zapotrzebowaniem – najczęściej za pomocą powszechnie wykorzystywanego Dockera. Kontenery z definicji bazują jednak na systemie operacyjnym hosta (w przeciwieństwie do VM, które mają własny system i przydzielone w drodze wirtualizacji zasoby – np. moc obliczeniową, stacje dysków, pamięć operacyjną i masową). Konieczne jest więc zwrócenie szczególnej uwagi na poprawną konfigurację takiego środowiska.


• Sandboxy systemowe. Są mniej popularne i wykorzystywane zazwyczaj w użytku prywatnym oraz do mniej wymagających zadań. Są implementowane jako narzędzie w systemie operacyjnym. Na rynku mamy do czynienia np. z rozwiązaniami od Microsoft w systemach Windows (Windows Sandbox) oraz od Apple w macOS (Apple Sandbox).

Sandbox może być tworzony zarówno w środowiskach lokalnych, jak i chmurowych (tzw. cloud sandboxing). Z uwagi na popularyzację chmury to drugie rozwiązanie jest wykorzystywane coraz częściej. Ten sposób pozwala uzyskać bezpieczną „piaskownicę”, zarówno w drodze wirtualizacji, jak i konteneryzacji.

Sandbox może być jednym z wielu modułów działających w ramach kompleksowych rozwiązań bezpieczeństwa, takich jak programy antywirusowe, firewalle nowej generacji, UTMy czy rozwiązania SEG (Secure Email Gateway) do ochrony poczty elektronicznej. W tym przypadku sandboxing jest procesem zautomatyzowanym. To systemy bezpieczeństwa decydują o ewentualnym zweryfikowaniu aplikacji, linku czy pakietu danych w sandboxie. Jako że dzieje się to w czasie rzeczywistym, użytkownik sieci nawet nie zauważa całego procesu, gdyż nie wpływa on na pracę.