Виртуальный межсетевой экран ( VF ) представляет собой брандмауэр сетевой службы или прибор работает полностью внутри виртуальной среде и которая обеспечивает обычную фильтрацию пакетов и мониторинга , при условии , через физический брандмауэр сети. VF может быть реализован как традиционный программный брандмауэр на уже запущенной гостевой виртуальной машине , специализированное виртуальное устройство безопасности, разработанное с учетом безопасности виртуальной сети , виртуальный коммутатор с дополнительными возможностями безопасности или управляемый процесс ядра, работающий на хосте. гипервизор .
Задний план
Пока компьютерная сеть полностью основана на физическом оборудовании и кабелях, это физическая сеть. Таким образом, он может быть защищен как физическими брандмауэрами, так и брандмауэрами ; Первой и наиболее важной защитой для физической компьютерной сети всегда была и остается физическая, запертая, огнестойкая дверь. [1] [2] Так было с момента появления Интернета, и структурные брандмауэры и сетевые брандмауэры долгое время были необходимыми и достаточными.
Примерно с 1998 года наблюдается резкий рост использования виртуальных машин (ВМ) в дополнение к - иногда вместо физических машин, чтобы предлагать различные виды компьютерных и коммуникационных услуг в локальных сетях и в более широком Интернете. Преимущества виртуальных машин хорошо изучены в других источниках. [3] [4]
Виртуальные машины могут работать изолированно (например, в качестве гостевой операционной системы на персональном компьютере) или в единой виртуализированной среде, контролируемой контролирующим монитором виртуальных машин или процессом « гипервизор ». В случае, когда многие виртуальные машины работают в одной и той же виртуализированной среде, они могут быть соединены вместе через виртуальную сеть, состоящую из виртуализированных сетевых коммутаторов между машинами и виртуализированных сетевых интерфейсов внутри машин. В результате в виртуальной сети могут быть реализованы традиционные сетевые протоколы (например, TCP ) или инициализация виртуальной сети, например VLAN или VPN , хотя последнее, хотя и полезно по их собственным причинам, никоим образом не требуется.
По-прежнему существует мнение, что виртуальные машины по своей сути безопасны, потому что они рассматриваются как « изолированные » внутри операционной системы хоста. [5] [6] [7] Часто считается, что хост аналогичным образом защищен от использования самой виртуальной машины [8] и что хост не представляет угрозы для виртуальной машины, поскольку является физическим активом. защищен традиционной физической и сетевой безопасностью. [6] Даже когда это явно не предполагается, раннее тестирование виртуальных инфраструктур часто происходит в изолированных лабораторных средах, где безопасность, как правило, не является непосредственной проблемой, или безопасность может выйти на первый план только тогда, когда то же решение движется в производство или в компьютерное облако , где внезапно виртуальные машины с разными уровнями доверия могут оказаться в одной виртуальной сети, работающей на любом количестве физических узлов.
Поскольку это настоящие сети, виртуальные сети могут в конечном итоге столкнуться с теми же видами уязвимостей, которые давно ассоциируются с физической сетью, некоторые из которых:
- Пользователи на машинах в виртуальной сети имеют доступ ко всем остальным машинам в той же виртуальной сети.
- Компрометации или незаконного присвоения одной виртуальной машины в виртуальной сети достаточно, чтобы предоставить платформу для дополнительных атак на другие машины в том же сегменте сети.
- Если виртуальная сеть объединена с физической сетью или Интернетом в целом, то машины в виртуальной сети могут иметь доступ к внешним ресурсам (и внешним эксплойтам), что может сделать их открытыми для использования.
- Сетевой трафик, который проходит напрямую между машинами, не проходя через устройства безопасности, не отслеживается.
Проблемы, создаваемые практически невидимым трафиком между виртуальными машинами (VM-to-VM) в виртуальной сети, точно такие же, как и в физических сетях, и усложняются тем фактом, что пакеты могут перемещаться полностью внутри оборудования одного физический хост:
- Поскольку трафик виртуальной сети может никогда не покидать аппаратное обеспечение физического узла, администраторы безопасности не могут наблюдать трафик между виртуальными машинами, не могут его перехватить и, следовательно, не могут знать, для чего этот трафик.
- Регистрация сетевой активности между виртуальными машинами в пределах одного хоста и проверка доступа к виртуальным машинам в целях соответствия нормативным требованиям становятся трудными.
- Несоответствующее использование ресурсов виртуальной сети и потребление полосы пропускания между виртуальными машинами трудно обнаружить или исправить.
- Необычные или неподходящие службы, работающие в виртуальной сети или внутри нее, могут остаться незамеченными.
Существуют проблемы безопасности, известные только в виртуализированных средах, которые наносят ущерб мерам и методам физической безопасности, и некоторые из них рекламируются как реальные преимущества технологии виртуальных машин над физическими машинами: [9]
- Виртуальные машины могут быть преднамеренно (или неожиданно) перенесены между доверенными и ненадежными виртуализированными средами, где миграция разрешена.
- Виртуальные машины и / или виртуальные тома хранилища можно легко клонировать, а клон сделать так, чтобы он работал в любой части виртуализированной среды, включая DMZ .
- Многие компании используют свои отделы закупок или ИТ в качестве ведущего агентства по ИТ-безопасности, применяя меры безопасности в то время, когда физическая машина извлекается из коробки и инициализируется. Поскольку виртуальные машины могут быть созданы за несколько минут любым авторизованным пользователем и запущены без бумажного следа, они могут в этих случаях обойти установленные методы обеспечения безопасности ИТ при «первой загрузке».
- Виртуальные машины не имеют физической реальности, не оставляя следов их создания или (в более крупных виртуализированных установках) их дальнейшего существования. Их также можно легко уничтожить, почти не оставляя цифровой подписи и абсолютно никаких вещественных доказательств.
Помимо проблем с видимостью сетевого трафика и несогласованного разрастания виртуальных машин, мошенническая виртуальная машина, использующая только виртуальную сеть, коммутаторы и интерфейсы (все из которых выполняются в процессе на физическом оборудовании хоста), может потенциально нарушить работу сети, как и любая физическая машина на физическая сеть - и обычными способами - хотя теперь, потребляя циклы ЦП хоста, она может дополнительно вывести из строя всю виртуализированную среду и все другие виртуальные машины с ней, просто перегрузив физические ресурсы хоста, от которых зависит остальная часть виртуализированной среды.
Это могло стать проблемой, но в отрасли было воспринято как хорошо известная проблема, потенциально открытая для традиционных мер и ответных мер. [10] [11] [12] [13]
Виртуальные межсетевые экраны
Один из методов защиты, регистрации и мониторинга трафика между виртуальными машинами включал маршрутизацию виртуализированного сетевого трафика из виртуальной сети в физическую сеть через виртуальные локальные сети и, следовательно, в уже существующий физический межсетевой экран для обеспечения услуг безопасности и соответствия требованиям для физических сеть. Трафик VLAN можно отслеживать и фильтровать с помощью физического брандмауэра, а затем передавать обратно в виртуальную сеть (если она считается допустимой для этой цели) и далее на целевую виртуальную машину.
Неудивительно, что менеджеры локальных сетей, эксперты по безопасности и поставщики сетевой безопасности начали задаваться вопросом, может ли быть более эффективным полностью удерживать трафик в виртуализированной среде и защищать его оттуда. [14] [15] [16] [17]
Таким образом, виртуальный брандмауэр - это служба или устройство брандмауэра, работающее полностью в виртуализированной среде - даже как другая виртуальная машина, но так же легко и внутри самого гипервизора - обеспечивая обычную фильтрацию пакетов и мониторинг, которую обеспечивает физический брандмауэр. VF можно установить как традиционный программный брандмауэр на гостевой виртуальной машине, уже работающей в виртуализированной среде; или это может быть специально созданное устройство виртуальной безопасности, разработанное с учетом безопасности виртуальной сети; или это может быть виртуальный коммутатор с дополнительными возможностями безопасности; или это может быть управляемый процесс ядра, работающий в гипервизоре хоста, который выполняет все действия виртуальной машины.
Текущее направление в технологии виртуальных межсетевых экранов - это сочетание виртуальных коммутаторов с функцией безопасности [18] и виртуальных устройств безопасности. Некоторые виртуальные брандмауэры объединяют дополнительные сетевые функции, такие как VPN типа "сеть-сеть" и удаленного доступа, QoS, фильтрация URL-адресов и многое другое. [19] [20] [21]
Операция
Виртуальные межсетевые экраны могут работать в разных режимах для предоставления услуг безопасности в зависимости от точки развертывания. Обычно это режим моста или режим гипервизора [ сомнительно ] (на основе гипервизора, резидентный гипервизор). Оба могут поставляться в термоусадочной упаковке как виртуальное устройство безопасности и могут устанавливать виртуальную машину для целей управления.
Виртуальный межсетевой экран, работающий в режиме моста, действует как аналог межсетевого экрана физического мира; он находится в стратегической части сетевой инфраструктуры - обычно на межсетевом виртуальном коммутаторе или мосте - и перехватывает сетевой трафик, предназначенный для других сегментов сети и проходящий через мост. Изучая источник, пункт назначения, тип пакета и даже полезную нагрузку, VF может решить, разрешить ли пакету прохождение, отбросить, отклонить, переадресовать или отразить на какое-то другое устройство. Первоначальные участники рынка виртуальных межсетевых экранов в основном работали в режиме моста, и многие предложения сохраняют эту функцию.
Напротив, виртуальный брандмауэр, работающий в режиме гипервизора, на самом деле вообще не является частью виртуальной сети и, как таковой, не имеет аналогов устройства в физическом мире. Виртуальный брандмауэр в режиме гипервизора находится в мониторе виртуальных машин или гипервизоре, где он хорошо расположен для захвата активности ВМ, включая внедрение пакетов. Можно исследовать всю контролируемую виртуальную машину и все ее виртуальное оборудование, программное обеспечение, службы, память и хранилище, а также изменения в них [ необходима цитата ] . Кроме того, поскольку виртуальный брандмауэр на основе гипервизора не является частью самой сети и не является виртуальной машиной, его функциональность не может отслеживаться или изменяться пользователями и программным обеспечением, которое может работать только под виртуальной машиной или иметь доступ только к виртуализированной сети.
Виртуальные межсетевые экраны в режиме моста можно установить так же, как любую другую виртуальную машину в виртуализированной инфраструктуре. Поскольку тогда это сама виртуальная машина, связь VF со всеми другими виртуальными машинами может со временем усложняться из-за исчезновения и появления виртуальных машин случайным образом, миграции между разными физическими хостами или других несогласованных изменений, допускаемых виртуализированной инфраструктурой.
Виртуальные межсетевые экраны в режиме гипервизора требуют модификации ядра гипервизора физического хоста, чтобы установить перехватчики процессов или модули, позволяющие системе виртуального межсетевого экрана получать доступ к информации виртуальной машины и прямой доступ к коммутаторам виртуальной сети и виртуализированным сетевым интерфейсам, перемещающим пакетный трафик между виртуальными машинами или между ними. ВМ и сетевой шлюз. Резидентный виртуальный брандмауэр гипервизора может использовать те же перехватчики для последующего выполнения всех обычных функций брандмауэра, таких как проверка, отбрасывание и пересылка пакетов, но без фактического взаимодействия с виртуальной сетью в любой момент. Виртуальные брандмауэры в режиме гипервизора могут быть намного быстрее, чем та же технология, работающая в режиме моста, потому что они не проверяют пакеты на виртуальной машине, а скорее из ядра на собственных аппаратных скоростях.
Смотрите также
- Виртуальное устройство безопасности
- Виртуализация сетевых функций
Рекомендации
- ^ «Физический ключ безопасности сети для борьбы с низкотехнологичными угрозами» Мориси, Майкл. SearchNetworking.com, февраль 2009 г.
- ^ "Физическая сетевая безопасность" Родригес, Эрик. Skullbox.com, май 2005 г.
- ^ «Плюсы и минусы виртуальных машин в центре обработки данных» Чао, Велли, DevX.com, январь 2006 г.
- ^ «Преобразуйте свой бизнес с помощью виртуализации» , Основы виртуализации Vmware
- ^ «Помогает ли песочница или виртуальная машина защитить вашу конфиденциальность?» Нотенбум, Лео. Октябрь 2008 г.
- ^ a b «Уровни угроз безопасности виртуальных машин; не верьте шумихе» Ботельо, Бриджит. Обмен знаниями в области ИТ. Ноя 2008
- ^ «Медитации в практически безопасном мире» Корелк, Джастин и Эд Титтель. SearchEnterpriseLinux.com, апрель 2006 г.
- ^ «Core Security Technologies обнаруживает критическую уязвимость в программном обеспечении виртуализации настольных компьютеров Vmware» Core Security Technologies, февраль 2008 г.
- ^ «Обзор безопасности виртуальных машин» Reuben, JS. Хельсинкский технологический университет, без даты
- ^ "ИТ-аудит для виртуальной среды" SANS.org, декабрь 2009 г.
- ^ «Виртуализация POWER5: Как работать с VLAN с помощью IBM Virtual I / O Server» IBM Inc., ноябрь 2008 г.
- ^ "Безопасные виртуальные сети" Веттерн, Джорн. Redmondmag.com, февраль 2009 г.
- ^ «Почему виртуальные сети Hyper-V менее безопасны, чем физические сети» Шилдс, Грег. TechTarget SearchNetworking, октябрь 2009 г.
- ^ «Соображения безопасности для виртуальных сред» Розенберг, Дэвид. Cnet News ноябрь 2009 г.
- ^ "Программное обеспечение управления доступом защищает смешанные сети виртуальных и физических машин без сложных наборов правил и высоких затрат на ИТ" Apani Inc., август 2008 г.
- ^ "Безопасный виртуализированный хостинг" Altor Networks Inc.
- ^ «Лучшие методы защиты виртуальных сетей» Мур, Хези. Март 2008 г. vmblog.com
- ^ Введение в Nexus 1000V . Cisco Inc.
- ^ "API-интерфейсы VMsafe успокаивают осторожных профессионалов в области ИТ-безопасности", Луккад, VJ. Блог об управлении идентификацией и доступом. Август 2009 г.
- ^ "Должен ли я иметь брандмауэр для моего виртуального мира?" VMInformer.
- ^ Пример использования: Winsert Inc.
дальнейшее чтение
- «Бот Zeus Bot появляется в облаке EC2, обнаружен, отклонен» Бэбкок, Чарльз. InformationWeek, декабрь 2009 г.
- "40 000 брандмауэров! Помогите, пожалуйста !?" Texiwill. Практика виртуализации . Сентябрь 2009 г.
- «МНЕНИЕ / Зачем нам виртуальная безопасность?» Бен-Эфраим, Амир. Новости государственной безопасности . Август 2009 г.
- "Обеспечьте безопасность ваших виртуальных сетей", журнал Zillion . Июль 2009 г.
- «Виртуальное слепое пятно» Шульц, Бет. NetworkWorld . Июль 2010 г.
- «Облачная безопасность в реальном мире: 4 примера» Брандель, Мэри. CSO: Безопасность и риски . Июнь 2010 г.
- «Обеспечение безопасности смешанных сред - не все будут виртуализированы» Огрен, Эрик. ComputerWorld . Июнь 2010 г.
- «Новые инструменты безопасности защищают виртуальные машины» Стром, Дэвид. Network World март 2011 г.