WikiDer > Виртуальный межсетевой экран
А виртуальный брандмауэр (VF) это сетевой брандмауэр служба или устройство, работающее полностью в пределах виртуализированная среда и который обеспечивает обычный фильтрация пакетов и мониторинг, обеспечиваемый через брандмауэр физической сети. VF может быть реализован как традиционный программный брандмауэр на гостевой системе виртуальная машина уже работает, специально построенный виртуальное устройство безопасности разработан с виртуальным сетевая безопасность в виду, виртуальный переключатель с дополнительными возможностями безопасности или управляемый процесс ядра, работающий на хосте гипервизор.
Фон
Пока компьютерная сеть полностью основана на физическом оборудовании и кабелях, это физическая сеть. Таким образом, он может быть защищен физическим брандмауэры и брандмауэры одинаково; Первой и наиболее важной защитой для физической компьютерной сети всегда была и остается физическая, запертая, огнестойкая дверь.[1][2] Так было с момента появления Интернета, и структурные брандмауэры и сетевые брандмауэры долгое время были необходимыми и достаточными.
Примерно с 1998 г. наблюдается взрывной рост использования виртуальные машины (ВМ) в дополнение к физическим машинам, а иногда и вместо них, чтобы предлагать различные виды компьютерных и коммуникационных услуг на локальные сети и в более широком Интернете. Преимущества виртуальных машин хорошо изучены в других источниках.[3][4]
Виртуальные машины могут работать изолированно (например, в качестве гостевой операционной системы на персональном компьютере) или в единой виртуализированной среде, контролируемой надзорным органом. монитор виртуальной машины или же "гипервизор"процесс. В случае, когда несколько виртуальных машин работают в одной виртуализированной среде, они могут быть связаны вместе через виртуальная сеть состоящий из виртуализированные сетевые коммутаторы между машинами и виртуализированные сетевые интерфейсы внутри машин. Результирующий виртуальная сеть затем может реализовать традиционные сетевые протоколы (например, TCP) или подготовка виртуальной сети, например VLAN или же VPN, хотя последние, хотя и полезны по своим причинам, никоим образом не требуются.
По-прежнему существует мнение, что виртуальные машины по своей сути безопасны, потому что они рассматриваются как "в песочнице"в операционной системе хоста.[5][6][7] Часто считается, что хост аналогичным образом защищен от использования самой виртуальной машины.[8] и что хост не представляет угрозы для виртуальной машины, потому что это физический актив, защищенный традиционной физической и сетевой безопасностью.[6] Даже если это явно не предполагается, раннее тестирование виртуальных инфраструктур часто происходит в изолированных лабораторных средах, где безопасность, как правило, не является непосредственной проблемой, или безопасность может выйти на первый план только тогда, когда то же решение перемещается в производство или на компьютерное облако, где внезапно виртуальные машины с разными уровнями доверия могут оказаться в одной виртуальной сети, работающей на любом количестве физических узлов.
Поскольку это настоящие сети, виртуальные сети могут в конечном итоге столкнуться с теми же видами уязвимостей, которые давно ассоциируются с физической сетью, некоторые из которых:
- Пользователи на машинах в виртуальной сети имеют доступ ко всем остальным машинам в той же виртуальной сети.
- Компрометации или незаконного присвоения одной виртуальной машины в виртуальной сети достаточно, чтобы предоставить платформу для дополнительных атак на другие машины в том же сегменте сети.
- Если виртуальная сеть объединена с физической сетью или Интернетом в целом, то машины в виртуальной сети могут иметь доступ к внешним ресурсам (и внешним эксплойтам), что может сделать их открытыми для использования.
- Сетевой трафик, который проходит напрямую между машинами, не проходя через устройства безопасности, не отслеживается.
Проблемы, создаваемые практически невидимым трафиком между виртуальными машинами (VM-to-VM) в виртуальной сети, точно такие же, как и в физических сетях, и усложняются тем фактом, что пакеты могут полностью перемещаться внутри оборудования одного физический хост:
- Поскольку трафик виртуальной сети может никогда не покидать аппаратное обеспечение физического хоста, администраторы безопасности не могут наблюдать трафик между виртуальными машинами, не могут его перехватить и поэтому не могут знать, для чего этот трафик.
- Регистрация сетевой активности между виртуальными машинами в пределах одного хоста и проверка доступа к виртуальным машинам в целях соответствия нормативным требованиям становятся трудными.
- Несоответствующее использование ресурсов виртуальной сети и потребление полосы пропускания между виртуальными машинами трудно обнаружить или исправить.
- Необычные или несоответствующие службы, работающие в виртуальной сети или внутри нее, могут остаться незамеченными.
Существуют проблемы безопасности, известные только в виртуализированных средах, которые наносят ущерб мерам и методам физической безопасности, и некоторые из них рекламируются как реальные преимущества технологии виртуальных машин над физическими машинами:[9]
- Виртуальные машины могут быть преднамеренно (или неожиданно) перемещены между доверенными и ненадежными виртуализированными средами, где миграция включена.
- Виртуальные машины и / или виртуальные тома хранилища можно легко клонировать, а клон сделать так, чтобы он работал в любой части виртуализированной среды, включая DMZ.
- Многие компании используют свои отделы закупок или ИТ в качестве ведущего агентства по ИТ-безопасности, применяя меры безопасности в то время, когда физическая машина извлекается из коробки и инициализируется. Поскольку виртуальные машины могут быть созданы за несколько минут любым авторизованным пользователем и запущены без бумажного следа, они могут в этих случаях обойти установленные методы обеспечения безопасности ИТ при «первой загрузке».
- Виртуальные машины не имеют физической реальности, не оставляя следов их создания или (в более крупных виртуализированных инсталляциях) их дальнейшего существования. Их также можно легко уничтожить, почти не оставляя цифровой подписи и абсолютно никаких вещественных доказательств.
В дополнение к проблемам с видимостью сетевого трафика и нескоординированному разрастанию виртуальных машин, мошенническая виртуальная машина, использующая только виртуальную сеть, коммутаторы и интерфейсы (все из которых выполняются в процессе на физическом оборудовании хоста), может потенциально нарушить сеть, как и любая физическая машина на физическая сеть - и обычными способами - хотя теперь, потребляя циклы центрального процессора хоста, она может дополнительно вывести из строя всю виртуализированную среду и все другие виртуальные машины с ней, просто перегрузив физические ресурсы хоста, от которых зависит остальная часть виртуализированной среды.
Это могло стать проблемой, но в отрасли было воспринято как хорошо известная проблема, потенциально открытая для традиционных мер и ответов.[10][11][12][13]
Виртуальные межсетевые экраны
Один из методов защиты, регистрации и мониторинга трафика между виртуальными машинами включал маршрутизацию виртуализированного сетевого трафика из виртуальной сети в физическую сеть через виртуальные локальные сети и, следовательно, в уже существующий физический брандмауэр, чтобы обеспечить услуги безопасности и соответствия для физических сеть. Трафик VLAN можно отслеживать и фильтровать с помощью физического брандмауэра, а затем передавать обратно в виртуальную сеть (если это считается допустимым для этой цели) и далее на целевую виртуальную машину.
Неудивительно, что менеджеры LAN, эксперты по безопасности и поставщики сетевой безопасности начали задаваться вопросом, может ли быть более эффективным полностью удерживать трафик в виртуальной среде и защищать его оттуда.[14][15][16][17]
Таким образом, виртуальный брандмауэр - это служба или устройство брандмауэра, работающее полностью в виртуализированной среде - даже как другая виртуальная машина, но так же легко и внутри самого гипервизора - обеспечивая обычную фильтрацию пакетов и мониторинг, которые обеспечивает физический брандмауэр. VF можно установить как традиционный программный брандмауэр на гостевой виртуальной машине, уже работающей в виртуализированной среде; или это может быть специально построенный виртуальное устройство безопасности разработан с учетом безопасности виртуальной сети; или это может быть виртуальный переключатель с дополнительными возможностями безопасности; или это может быть управляемый процесс ядра, работающий в гипервизоре хоста, который выполняет все действия виртуальной машины.
Текущее направление в технологии виртуальных межсетевых экранов - это сочетание виртуальных коммутаторов с функцией безопасности,[18] и виртуальные устройства безопасности. Некоторые виртуальные брандмауэры объединяют дополнительные сетевые функции, такие как VPN типа "сеть-сеть" и удаленного доступа, QoS, фильтрация URL-адресов и многое другое.[19][20][21]
Операция
Виртуальные межсетевые экраны могут работать в разных режимах для предоставления услуг безопасности в зависимости от точки развертывания. Обычно это либо мост-режим или же режим гипервизора[сомнительный ](на основе гипервизора, резидентный гипервизор). Оба могут поставляться в термоусадочной упаковке в виде виртуальное устройство безопасности и может установить виртуальную машину для управления.
Виртуальный межсетевой экран, работающий в мост-режим действует как аналог брандмауэра физического мира; он находится в стратегической части сетевой инфраструктуры - обычно на межсетевом виртуальном коммутаторе или мосте - и перехватывает сетевой трафик, предназначенный для других сегментов сети и проходящий через мост. Изучив источник происхождения, пункт назначения, тип пакета и даже полезная нагрузка VF может решить, следует ли разрешить прохождение пакета, отбросить, отклонить, перенаправить или отразить на какое-либо другое устройство. Первые участники рынка виртуальных межсетевых экранов в основном работали в режиме моста, и многие предложения сохраняют эту функцию.
Напротив, виртуальный брандмауэр, работающий в режим гипервизора на самом деле вообще не является частью виртуальной сети и поэтому не имеет аналогов в физическом мире. Виртуальный брандмауэр в режиме гипервизора находится в монитор виртуальной машины или же гипервизор где он имеет хорошие возможности для захвата активности виртуальных машин, включая внедрение пакетов. Можно проверить всю отслеживаемую виртуальную машину и все ее виртуальное оборудование, программное обеспечение, службы, память и хранилище, а также изменения в них.[нужна цитата]. Кроме того, поскольку виртуальный брандмауэр на основе гипервизора не является частью самой сети и не является виртуальной машиной, его функциональность не может отслеживаться по очереди или изменяться пользователями и программным обеспечением, ограниченным запуском под виртуальной машиной или имеющим доступ только к виртуализированной сети.
Виртуальные межсетевые экраны в режиме моста можно установить так же, как любую другую виртуальную машину в виртуализированной инфраструктуре. Поскольку тогда это сама виртуальная машина, связь VF со всеми другими виртуальными машинами может со временем усложняться из-за исчезновения и появления виртуальных машин случайным образом, миграции между разными физическими хостами или других несогласованных изменений, допускаемых виртуализированной инфраструктурой.
Виртуальные межсетевые экраны в режиме гипервизора требуют модификации ядра гипервизора физического хоста, чтобы установить перехватчики процессов или модули, позволяющие системе виртуального межсетевого экрана получать доступ к информации виртуальной машины и прямой доступ к коммутаторам виртуальной сети и виртуализированным сетевым интерфейсам, перемещающим пакетный трафик между виртуальными машинами или между ними. ВМ и сетевой шлюз. Резидентный виртуальный брандмауэр гипервизора может использовать те же перехватчики для последующего выполнения всех обычных функций брандмауэра, таких как проверка, отбрасывание и пересылка пакетов, но без фактического взаимодействия с виртуальной сетью в любой момент. Виртуальные брандмауэры в режиме гипервизора могут быть намного быстрее, чем та же технология, работающая в режиме моста, потому что они не проверяют пакеты на виртуальной машине, а скорее из ядра на собственных аппаратных скоростях.
Смотрите также
Рекомендации
- ^ «Ключ физической безопасности сети для борьбы с низкотехнологичными угрозами» Мориси, Майкл. SearchNetworking.com, февраль 2009 г.
- ^ «Физическая сетевая безопасность» Родригес, Эрик. Skullbox.com, май 2005 г.
- ^ «Плюсы и минусы виртуальных машин в центре обработки данных» Чао, Велли, DevX.com, январь 2006 г.
- ^ «Преобразуйте свой бизнес с помощью виртуализации», Основы виртуализации Vmware
- ^ «Помогает ли песочница или виртуальная машина защитить вашу конфиденциальность?» Нотенбум, Лео. Октябрь 2008 г.
- ^ а б «Уровни угроз безопасности виртуальных машин; не верьте этой шумихе» Ботельо, Бриджит. Обмен знаниями в области ИТ. Ноя 2008
- ^ «Размышления в практически безопасном мире» Корельц, Джастин и Эд Титтель. SearchEnterpriseLinux.com, апрель 2006 г.
- ^ «Core Security Technologies обнаруживает критическую уязвимость в программном обеспечении виртуализации настольных компьютеров Vmware» Core Security Technologies, февраль 2008 г.
- ^ «Обзор безопасности виртуальных машин» Рувим, Дж. С. Хельсинкский технологический университет, без даты
- ^ «ИТ-аудит виртуальной среды» SANS.org, декабрь 2009 г.
- ^ «Виртуализация POWER5: как работать с VLAN с помощью IBM Virtual I / O Server» IBM Inc., ноябрь 2008 г.
- ^ «Безопасные виртуальные сети» Веттерн, Джорн. Redmondmag.com, февраль 2009 г.
- ^ «Почему виртуальные сети Hyper-V менее безопасны, чем физические сети» Шилдс, Грег. TechTarget SearchNetworking, октябрь 2009 г.
- ^ «Соображения безопасности для виртуальных сред» Розенберг, Дэвид. Cnet News ноябрь 2009 г.
- ^ «Программное управление доступом защищает смешанные сети виртуальных и физических машин без сложных наборов правил и высоких затрат на ИТ» Apani Inc., август 2008 г.
- ^ «Безопасный виртуализированный хостинг» Altor Networks Inc.
- ^ «Лучшие методы защиты виртуальных сетей» Мур, Хэзи. Март 2008 г. vmblog.com
- ^ Знакомство с Nexus 1000V. Cisco Inc.
- ^ «API VMsafe успокаивают осторожных профессионалов в области ИТ-безопасности» Луккад, VJ. Блог по управлению идентификацией и доступом. Август 2009 г.
- ^ «Должен ли я иметь брандмауэр для моего виртуального мира?» VMInformer.
- ^ Пример использования: Winsert Inc.
дальнейшее чтение
- «Zeus Bot появляется в облаке EC2, обнаружен, отклонен» Бэбкок, Чарльз. Информационная неделя Декабрь 2009 г.
- "40 000 брандмауэров! Помогите, пожалуйста !?" Texiwill. Практика виртуализации. Сентябрь 2009 г.
- «МНЕНИЕ / Зачем нужна виртуальная безопасность?» Бен-Эфраим, Амир. Новости государственной безопасности. Август 2009 г.
- «Обеспечьте безопасность своих виртуальных сетей» Журнал Zillion. Июль 2009 г.
- «Виртуальная слепая зона» Шульц, Бет. NetworkWorld. Июль 2010 г.
- «Облачная безопасность в реальном мире: 4 примера» Брандел, Мэри. ОГО: Риск безопасности. Июнь 2010 г.
- «Обеспечение безопасности смешанных сред - не все будут виртуализированы» Огрен, Эрик. ComputerWorld. Июнь 2010 г.
- «Новые средства безопасности защищают виртуальные машины» Стром, Дэвид. Сетевой мир Март 2011 г.