Виртуальное устройство безопасности является компьютером устройство , которое работает в виртуальных средах . Это устройство называется устройством, потому что оно содержит предварительно подготовленную операционную систему с усиленной защитой и приложение безопасности и работает на виртуализированном оборудовании. Оборудование виртуализировано с использованием технологии гипервизора, предоставляемой такими компаниями, как VMware , Citrix и Microsoft.. Приложение безопасности может различаться в зависимости от конкретного поставщика сетевой безопасности. Некоторые поставщики, такие как Reflex Systems, решили поставлять технологию предотвращения вторжений в виде виртуализированного устройства или многофункционального сервера для защиты от уязвимостей, предоставляемого Blue Lane. Тип технологии безопасности не имеет значения, когда речь идет об определении виртуального устройства безопасности, и более важен, когда речь идет об уровнях производительности, достигаемых при развертывании различных типов безопасности в качестве виртуального устройства безопасности. Другие проблемы включают видимость гипервизора и виртуальной сети, которая работает внутри.
История устройства безопасности
Традиционно устройства безопасности рассматривались как высокопроизводительные продукты, в которых могли быть встроены специализированные микросхемы ASIC, обеспечивающие более высокие уровни производительности за счет специализированного аппаратного подхода. Многие поставщики начали называть готовые операционные системы с выделенными приложениями на выделенном серверном оборудовании, такими как IBM, Dell и офшорные бренды, «приборами». Терминология, связанная с прибором, хотя сейчас широко используется, отошла от своих первоначальных корней. Администратор ожидает, что любая поддерживающая ОС Linux будет использовать монолитное ядро, поскольку аппаратная платформа предположительно статична и контролируется производителем. Однако следующие примеры настроены для использования загружаемых модулей ядра, что отражает динамический характер базовых аппаратных платформ, используемых менеджерами по продуктам. «Техника» имеет разную степень административной открытости. Датчики IPS Enterasys Dragon версии 7 (GE250 и GE500) представляют собой слегка усиленную версию дистрибутива Slackware Linux , дополненную административными уязвимостями и поставляемую с анонимным корневым доступом, что является предпочтительным методом администрирования базовой ОС. Консоли управления Motorola AirDefense поставляются как «устройство» без поддержки корневого доступа. Задачи административной настройки выполняются с помощью текстовых меню, запущенных от имени непривилегированного пользователя. Сенсорные устройства Websense DSS используют CentOS 5.2 ниже, а также разрешают root-доступ во время настройки. McAfee «s старший электронной политики Orchestator дистрибутивы используют -На распределение в RedHat 7, но изменения файлов конфигурации типична OS сбрасываются при перезагрузке. Основная настройка большинства этих устройств осуществляется через веб-интерфейсы. Утверждение о том, что для устройств не требуются исправления, является менее точным, чем утверждение о том, что производители будут менее склонны предоставлять быстрые модульные исправления без полного восстановления образа устройств. Такие компании, как NetScreen Technologies и TippingPoint, определили устройства безопасности, разместив в них специализированное оборудование со специальными микросхемами ASIC для обеспечения высокопроизводительных технологий межсетевого экрана и предотвращения вторжений соответственно. Эти компании определили свои конкретные рынки в начале 2000–2004 годов.
Современное использование термина
В то время устройства безопасности имели не только специализированные микросхемы ASIC и специализированное оборудование, но также поставлялись с операционными системами с повышенной степенью защиты и имели предустановленные приложения безопасности. Эта возможность обеспечивала производительность, а также простоту установки, и в результате поставщики программного обеспечения начали называть предустановленные приложения безопасности на оборудовании общего назначения «Устройства безопасности». Эта модель стала настолько привлекательной, что поставщики чистого программного обеспечения, такие как Stonesoft или CheckPoint Software, начали поставлять готовые операционные системы со своими приложениями безопасности после долгой истории продаж программного обеспечения, которое необходимо было установить на существующее оборудование и операционные системы клиентов. С взрывом технологий виртуализации, который привел к возможности виртуализировать оборудование и создавать несколько экземпляров программного обеспечения на компьютере, в 2005 году поставщики средств безопасности стали очевидны, что новый метод развертывания их устройств безопасности не за горами. Впервые в истории поставщик теперь может поставить операционную систему повышенной безопасности с предустановленным приложением безопасности, которое обещает простоту развертывания без необходимости подключения выделенного аппаратного устройства.
Соревнование
Со всеми новыми технологиями приходят компромиссы, а в случае виртуальных устройств безопасности компромисс - это многократные ограничения производительности. В прошлом такие компании, как Tipping Point, поставляли технологию предотвращения вторжений в форм-факторе устройства и обеспечивали высочайший уровень производительности за счет использования специализированных интеграционных схем [ASIC] и программируемых вентильных матриц [FPGA], которые размещены на специализированных платах аппаратных шин. Сегодня такие компании, как Reflex Security и Blue Lane, виртуализируют предотвращение вторжений, брандмауэры и другие технологии прикладного уровня. Перед достижением этих целей стоит задача обеспечить оптимальные уровни производительности, поскольку в виртуализированном мире приложения, работающие в операционных системах, конкурируют за одни и те же аппаратные вычислительные ресурсы. В мире физических устройств эти ресурсы выделены и с меньшей вероятностью пострадают от состояния блокировки в ожидании ресурсов.
Некоторые приложения безопасности поддерживают меньшее количество динамических состояний. Технологии межсетевого экрана обычно проверяют меньшие объемы данных, такие как заголовки TCP и UDP, и обычно поддерживают меньшее количество данных. Следовательно, простые технологии IP-брандмауэра с большей вероятностью будут кандидатами на виртуализацию. Многие технологии предотвращения вторжений используют сигнатуры и динамические конфигурации, которые обеспечивают глубокую проверку полезной нагрузки, а иногда и мониторинг потоков сеансов. Предотвращение вторжений также обычно требует жесткого сохранения и обслуживания состояния и интенсивного использования динамических данных в памяти. Часто высокодинамичные сегменты памяти данных труднее дедуплицировать, поскольку они более динамичны, чем сегменты кода. Поскольку общие ресурсы требуются чаще, это приводит к конфликту за ресурсы, который может увеличить задержку, особенно для систем, пересылающих дейтаграммы. Такие технологии, как принудительное применение уровня приложений Blue Lane, менее подвержены влиянию, поскольку они проверяют меньше трафика: тот, который направляется к известным уязвимостям, пропуская при этом невинный трафик.
Еще одна причина проблем с производительностью заключается в том, что динамические сигнатуры технологий IPS заставляют приложения для проверки запускать пользовательские процессы вне ядра операционной системы, чтобы избежать сбоев, вызванных перезагрузкой ядра или перезагрузкой системы. Пользовательские процессы обычно страдают от более высоких накладных расходов из-за их отделения от памяти управляющих операционных систем и политик управления процессами. Технологии межсетевого экрана традиционно работают как часть ядра операционной системы. Проблемы с производительностью снижаются за счет тесной связи с внутренними компонентами операционной системы.
Чтобы преодолеть эти ограничения, с приложениями IPS традиционно использовались ASIC и многоядерные процессоры. Эта роскошь недоступна в виртуализированных средах, потому что технологии виртуализации обычно не разрешают прямой аппаратный доступ к базовому оборудованию для конкретных приложений. Виртуализация хорошо подходит для приложений общего назначения, которые в противном случае не использовались бы на выделенном оборудовании для хостинга. Чрезмерная компенсация потери определенного оборудования за счет использования большего, чем обычно, количества вычислительных циклов для шифрования или памяти для поддержания состояния сводит на нет цель виртуализации серверов.