Виртуальный межсетевой экран - Virtual firewall

А виртуальный брандмауэр (VF) это сетевой брандмауэр служба или устройство, работающее полностью в пределах виртуализированная среда и который обеспечивает обычный фильтрация пакетов и мониторинг, обеспечиваемый через брандмауэр физической сети. VF может быть реализован как традиционный программный брандмауэр на гостевой системе виртуальная машина уже работает, специально построенный виртуальное устройство безопасности разработан с виртуальным сетевая безопасность в виду, виртуальный переключатель с дополнительными возможностями безопасности или управляемый процесс ядра, работающий на хосте гипервизор.

Фон

Пока компьютерная сеть полностью основана на физическом оборудовании и кабелях, это физическая сеть. Таким образом, он может быть защищен физическим брандмауэры и брандмауэры одинаково; Первой и наиболее важной защитой для физической компьютерной сети всегда была и остается физическая, запертая, огнестойкая дверь.[1][2] Так было с момента появления Интернета, и структурные брандмауэры и сетевые брандмауэры долгое время были необходимыми и достаточными.

Примерно с 1998 г. наблюдается взрывной рост использования виртуальные машины (ВМ) в дополнение к физическим машинам, а иногда и вместо них, чтобы предлагать различные виды компьютерных и коммуникационных услуг на локальные сети и в более широком Интернете. Преимущества виртуальных машин хорошо изучены в других источниках.[3][4]

Виртуальные машины могут работать изолированно (например, в качестве гостевой операционной системы на персональном компьютере) или в единой виртуализированной среде, контролируемой надзорным органом. монитор виртуальной машины или же "гипервизор "процесс. В случае, когда несколько виртуальных машин работают в одной виртуализированной среде, они могут быть связаны вместе через виртуальная сеть состоящий из виртуализированные сетевые коммутаторы между машинами и виртуализированные сетевые интерфейсы внутри машин. Результирующий виртуальная сеть затем может реализовать традиционные сетевые протоколы (например, TCP ) или подготовка виртуальной сети, например VLAN или же VPN, хотя последние, хотя и полезны по своим причинам, никоим образом не требуются.

По-прежнему существует мнение, что виртуальные машины по своей сути безопасны, потому что они рассматриваются как "в песочнице "в операционной системе хоста.[5][6][7] Часто считается, что хост аналогичным образом защищен от использования самой виртуальной машины.[8] и что хост не представляет угрозы для виртуальной машины, потому что это физический актив, защищенный традиционной физической и сетевой безопасностью.[6] Даже если это явно не предполагается, раннее тестирование виртуальных инфраструктур часто происходит в изолированных лабораторных средах, где безопасность, как правило, не является непосредственной проблемой, или безопасность может выйти на первый план только тогда, когда то же решение перемещается в производство или на компьютерное облако, где внезапно виртуальные машины с разными уровнями доверия могут оказаться в одной виртуальной сети, работающей на любом количестве физических узлов.

Поскольку это настоящие сети, виртуальные сети могут в конечном итоге столкнуться с теми же видами уязвимостей, которые давно ассоциируются с физической сетью, некоторые из которых:

  • Пользователи на машинах в виртуальной сети имеют доступ ко всем остальным машинам в той же виртуальной сети.
  • Компрометации или незаконного присвоения одной виртуальной машины в виртуальной сети достаточно, чтобы предоставить платформу для дополнительных атак на другие машины в том же сегменте сети.
  • Если виртуальная сеть объединена с физической сетью или Интернетом в целом, то машины в виртуальной сети могут иметь доступ к внешним ресурсам (и внешним эксплойтам), что может сделать их открытыми для использования.
  • Сетевой трафик, который проходит напрямую между машинами, не проходя через устройства безопасности, не отслеживается.

Проблемы, создаваемые практически невидимым трафиком между виртуальными машинами (VM-to-VM) в виртуальной сети, точно такие же, как и в физических сетях, и усложняются тем фактом, что пакеты могут полностью перемещаться внутри оборудования одного физический хост:

  • Поскольку трафик виртуальной сети может никогда не покидать аппаратное обеспечение физического хоста, администраторы безопасности не могут наблюдать трафик между виртуальными машинами, не могут его перехватить и поэтому не могут знать, для чего этот трафик.
  • Регистрация сетевой активности между виртуальными машинами в пределах одного хоста и проверка доступа к виртуальным машинам в целях соответствия нормативным требованиям становятся трудными.
  • Несоответствующее использование ресурсов виртуальной сети и потребление полосы пропускания между виртуальными машинами трудно обнаружить или исправить.
  • Необычные или несоответствующие службы, работающие в виртуальной сети или внутри нее, могут остаться незамеченными.

Существуют проблемы безопасности, известные только в виртуализированных средах, которые наносят ущерб мерам и методам физической безопасности, и некоторые из них рекламируются как реальные преимущества технологии виртуальных машин над физическими машинами:[9]

  • Виртуальные машины могут быть преднамеренно (или неожиданно) перемещены между доверенными и ненадежными виртуализированными средами, где миграция включена.
  • Виртуальные машины и / или виртуальные тома хранилища можно легко клонировать, а клон сделать так, чтобы он работал в любой части виртуализированной среды, включая DMZ.
  • Многие компании используют свои отделы закупок или ИТ в качестве ведущего агентства по ИТ-безопасности, применяя меры безопасности в то время, когда физическая машина извлекается из коробки и инициализируется. Поскольку виртуальные машины могут быть созданы за несколько минут любым авторизованным пользователем и запущены без бумажного следа, они могут в этих случаях обойти установленные методы обеспечения безопасности ИТ при «первой загрузке».
  • Виртуальные машины не имеют физической реальности, не оставляя следов их создания или (в более крупных виртуализированных инсталляциях) их дальнейшего существования. Их также можно легко уничтожить, почти не оставляя цифровой подписи и абсолютно никаких вещественных доказательств.

В дополнение к проблемам с видимостью сетевого трафика и нескоординированному разрастанию виртуальных машин, мошенническая виртуальная машина, использующая только виртуальную сеть, коммутаторы и интерфейсы (все из которых выполняются в процессе на физическом оборудовании хоста), может потенциально нарушить сеть, как и любая физическая машина на физическая сеть - и обычными способами - хотя теперь, потребляя циклы центрального процессора хоста, она может дополнительно вывести из строя всю виртуализированную среду и все другие виртуальные машины с ней, просто перегрузив физические ресурсы хоста, от которых зависит остальная часть виртуализированной среды.

Это могло стать проблемой, но в отрасли было воспринято как хорошо известная проблема, потенциально открытая для традиционных мер и ответов.[10][11][12][13]

Виртуальные межсетевые экраны

Один из методов защиты, регистрации и мониторинга трафика между виртуальными машинами включал маршрутизацию виртуализированного сетевого трафика из виртуальной сети в физическую сеть через виртуальные локальные сети и, следовательно, в уже существующий физический брандмауэр, чтобы обеспечить услуги безопасности и соответствия для физических сеть. Трафик VLAN можно отслеживать и фильтровать с помощью физического брандмауэра, а затем передавать обратно в виртуальную сеть (если это считается допустимым для этой цели) и далее на целевую виртуальную машину.

Неудивительно, что менеджеры LAN, эксперты по безопасности и поставщики сетевой безопасности начали задаваться вопросом, может ли быть более эффективным полностью удерживать трафик в виртуальной среде и защищать его оттуда.[14][15][16][17]

Таким образом, виртуальный брандмауэр - это служба или устройство брандмауэра, работающее полностью в виртуализированной среде - даже как другая виртуальная машина, но так же легко и внутри самого гипервизора - обеспечивая обычную фильтрацию пакетов и мониторинг, которые обеспечивает физический брандмауэр. VF можно установить как традиционный программный брандмауэр на гостевой виртуальной машине, уже работающей в виртуализированной среде; или это может быть специально построенный виртуальное устройство безопасности разработан с учетом безопасности виртуальной сети; или это может быть виртуальный переключатель с дополнительными возможностями безопасности; или это может быть управляемый процесс ядра, работающий в гипервизоре хоста, который выполняет все действия виртуальной машины.

Текущее направление в технологии виртуальных межсетевых экранов - это сочетание виртуальных коммутаторов с функцией безопасности,[18] и виртуальные устройства безопасности. Некоторые виртуальные брандмауэры объединяют дополнительные сетевые функции, такие как VPN типа "сеть-сеть" и удаленного доступа, QoS, фильтрация URL-адресов и многое другое.[19][20][21]

Операция

Виртуальные межсетевые экраны могут работать в разных режимах для предоставления услуг безопасности в зависимости от точки развертывания. Обычно это либо мост-режим или же режим гипервизора[сомнительный ](на основе гипервизора, резидентный гипервизор). Оба могут поставляться в термоусадочной упаковке в виде виртуальное устройство безопасности и может установить виртуальную машину для управления.

Виртуальный межсетевой экран, работающий в мост-режим действует как аналог брандмауэра физического мира; он находится в стратегической части сетевой инфраструктуры - обычно на межсетевом виртуальном коммутаторе или мосте - и перехватывает сетевой трафик, предназначенный для других сегментов сети и проходящий через мост. Изучив источник происхождения, пункт назначения, тип пакета и даже полезная нагрузка VF может решить, следует ли разрешить прохождение пакета, отбросить, отклонить, перенаправить или отразить на какое-либо другое устройство. Первые участники рынка виртуальных межсетевых экранов в основном работали в режиме моста, и многие предложения сохраняют эту функцию.

Напротив, виртуальный брандмауэр, работающий в режим гипервизора на самом деле вообще не является частью виртуальной сети и поэтому не имеет аналогов в физическом мире. Виртуальный брандмауэр в режиме гипервизора находится в монитор виртуальной машины или же гипервизор где он имеет хорошие возможности для захвата активности виртуальных машин, включая внедрение пакетов. Можно проверить всю отслеживаемую виртуальную машину и все ее виртуальное оборудование, программное обеспечение, службы, память и хранилище, а также изменения в них.[нужна цитата ]. Кроме того, поскольку виртуальный брандмауэр на основе гипервизора не является частью самой сети и не является виртуальной машиной, его функциональность не может отслеживаться по очереди или изменяться пользователями и программным обеспечением, ограниченным запуском под виртуальной машиной или имеющим доступ только к виртуализированной сети.

Виртуальные межсетевые экраны в режиме моста можно установить так же, как любую другую виртуальную машину в виртуализированной инфраструктуре. Поскольку тогда это сама виртуальная машина, связь VF со всеми другими виртуальными машинами может со временем усложняться из-за исчезновения и появления виртуальных машин случайным образом, миграции между разными физическими хостами или других несогласованных изменений, допускаемых виртуализированной инфраструктурой.

Виртуальные межсетевые экраны в режиме гипервизора требуют модификации ядра гипервизора физического хоста, чтобы установить перехватчики процессов или модули, позволяющие системе виртуального межсетевого экрана получать доступ к информации виртуальной машины и прямой доступ к коммутаторам виртуальной сети и виртуализированным сетевым интерфейсам, перемещающим пакетный трафик между виртуальными машинами или между ними. ВМ и сетевой шлюз. Резидентный виртуальный брандмауэр гипервизора может использовать те же перехватчики для последующего выполнения всех обычных функций брандмауэра, таких как проверка, отбрасывание и пересылка пакетов, но без фактического взаимодействия с виртуальной сетью в любой момент. Виртуальные брандмауэры в режиме гипервизора могут быть намного быстрее, чем та же технология, работающая в режиме моста, потому что они не проверяют пакеты на виртуальной машине, а скорее из ядра на собственных аппаратных скоростях.

Смотрите также

Рекомендации

  1. ^ «Ключ физической безопасности сети для борьбы с низкотехнологичными угрозами» Мориси, Майкл. SearchNetworking.com, февраль 2009 г.
  2. ^ «Физическая сетевая безопасность» Родригес, Эрик. Skullbox.com, май 2005 г.
  3. ^ «Плюсы и минусы виртуальных машин в центре обработки данных» Чао, Велли, DevX.com, январь 2006 г.
  4. ^ «Преобразуйте свой бизнес с помощью виртуализации», Основы виртуализации Vmware
  5. ^ «Помогает ли песочница или виртуальная машина защитить вашу конфиденциальность?» Нотенбум, Лео. Октябрь 2008 г.
  6. ^ а б «Уровни угроз безопасности виртуальных машин; не верьте этой шумихе» Ботельо, Бриджит. Обмен знаниями в области ИТ. Ноя 2008
  7. ^ «Размышления в практически безопасном мире» Корельц, Джастин и Эд Титтель. SearchEnterpriseLinux.com, апрель 2006 г.
  8. ^ «Core Security Technologies обнаруживает критическую уязвимость в программном обеспечении виртуализации настольных компьютеров Vmware» Core Security Technologies, февраль 2008 г.
  9. ^ «Обзор безопасности виртуальных машин» Рувим, Дж. С. Хельсинкский технологический университет, без даты
  10. ^ «ИТ-аудит виртуальной среды» SANS.org, декабрь 2009 г.
  11. ^ «Виртуализация POWER5: как работать с VLAN с помощью IBM Virtual I / O Server» IBM Inc., ноябрь 2008 г.
  12. ^ «Безопасные виртуальные сети» Веттерн, Джорн. Redmondmag.com, февраль 2009 г.
  13. ^ «Почему виртуальные сети Hyper-V менее безопасны, чем физические сети» Шилдс, Грег. TechTarget SearchNetworking, октябрь 2009 г.
  14. ^ «Соображения безопасности для виртуальных сред» Розенберг, Дэвид. Cnet News ноябрь 2009 г.
  15. ^ «Программное управление доступом защищает смешанные сети виртуальных и физических машин без сложных наборов правил и высоких затрат на ИТ» Apani Inc., август 2008 г.
  16. ^ «Безопасный виртуализированный хостинг» Altor Networks Inc.
  17. ^ «Лучшие методы защиты виртуальных сетей» Мур, Хэзи. Март 2008 г. vmblog.com
  18. ^ Знакомство с Nexus 1000V. Cisco Inc.
  19. ^ «API VMsafe успокаивают осторожных профессионалов в области ИТ-безопасности» Луккад, VJ. Блог по управлению идентификацией и доступом. Август 2009 г.
  20. ^ «Должен ли я иметь брандмауэр для моего виртуального мира?» VMInformer.
  21. ^ Пример использования: Winsert Inc.

дальнейшее чтение