Virtual xavfsizlik devori - Virtual firewall

A virtual xavfsizlik devori (VF) a tarmoq xavfsizlik devori butunlay a ichida ishlaydigan xizmat yoki jihoz virtualizatsiya qilingan muhit va bu odatiy narsani ta'minlaydi paketlarni filtrlash va jismoniy tarmoq xavfsizlik devori orqali ta'minlangan monitoring. VF mehmonda an'anaviy dasturiy ta'minot xavfsizlik devori sifatida amalga oshirilishi mumkin virtual mashina allaqachon ishlaydigan, maqsadga muvofiq ishlab chiqarilgan virtual xavfsizlik moslamasi virtual bilan yaratilgan tarmoq xavfsizligi yodda, a virtual kalit qo'shimcha xavfsizlik qobiliyatlari yoki xost ichida boshqariladigan yadro jarayoni gipervizator.

Fon

Shunday qilib, kompyuter tarmog'i butunlay jismoniy apparat va kabel orqali ishlaydi, bu jismoniy tarmoqdir. Shunday qilib, uni jismoniy himoya qilish mumkin xavfsizlik devorlari va yong'in devorlari bir xil; jismoniy kompyuter tarmog'i uchun birinchi va eng muhim himoya har doim jismoniy, qulflangan, olovga chidamli eshik bo'lgan va shunday bo'lib qoladi.^[1]^[2] Internet paydo bo'lgandan buyon shunday bo'lgan va yong'inning devorlari va tarmoq devorlari uzoq vaqt davomida zarur va etarli bo'lgan.

Taxminan 1998 yildan beri foydalanishda portlovchi o'sish kuzatildi virtual mashinalar (VM) qo'shimcha ravishda - ba'zida uning o'rniga - kompyuter va aloqa xizmatlarining ko'plab turlarini taklif qiladigan jismoniy mashinalar mahalliy tarmoqlar va kengroq Internet orqali. Virtual mashinalarning afzalliklari boshqa joylarda yaxshi o'rganilgan.^[3]^[4]

Virtual mashinalar ajratilgan holda (masalan, shaxsiy kompyuterdagi mehmon operatsion tizimi kabi) yoki nazorat tomonidan nazorat qilinadigan birlashtirilgan virtuallashtirilgan muhitda ishlashi mumkin. virtual mashina monitori yoki "gipervizator "Jarayon. Ko'pgina virtual mashinalar bir xil virtuallashtirilgan muhitda ishlayotgan bo'lsa, ular a orqali bir-biriga ulanishi mumkin virtual tarmoq iborat virtualizatsiya qilingan tarmoq kalitlari mashinalar orasidagi va virtualizatsiya qilingan tarmoq interfeyslari mashinalar ichida. Natijada virtual tarmoq keyinchalik an'anaviy tarmoq protokollarini amalga oshirishi mumkin (masalan TCP ) yoki kabi virtual tarmoq ta'minoti VLAN yoki VPN Ikkinchisi o'z sabablari bilan foydali bo'lsa ham, hech qanday tarzda talab qilinmaydi.

Virtual mashinalar tabiiy ravishda xavfsiz, chunki ular "qum qutisi "xost operatsion tizimida.^[5]^[6]^[7] Ko'pincha, xost xuddi shu tarzda, virtual mashinaning o'zi tomonidan ekspluatatsiyadan himoyalangan deb ishonishadi^[8] va xost virtual mashinaga tahdid solmasligi, chunki u an'anaviy jismoniy va tarmoq xavfsizligi bilan himoyalangan jismoniy aktivdir.^[6] Hatto bu aniq taxmin qilinmagan bo'lsa ham, virtual infratuzilmalarni erta sinovdan o'tkazish, odatda xavfsizlikni ta'minlash uchun darhol tashvishlanmaydigan yoki xavfsizlik faqat o'sha echim ishlab chiqarishga yoki ishlab chiqarishga o'tayotganda birinchi o'ringa chiqishi mumkin bo'lgan alohida laboratoriya sharoitida davom etadi. kompyuter buluti, bu erda to'satdan har xil ishonch darajasidagi virtual mashinalar har qanday jismoniy xostlar bo'ylab ishlaydigan bir xil virtual tarmoqqa ulanishi mumkin.

Ular haqiqiy tarmoqlar bo'lgani uchun, virtual tarmoqlar uzoq vaqt davomida jismoniy tarmoq bilan bog'liq bo'lgan bir xil zaifliklarga duch kelishi mumkin, ularning ba'zilari:

Virtual tarmoq ichidagi mashinalardagi foydalanuvchilar bir xil virtual tarmoqdagi barcha boshqa mashinalarga kirish huquqiga ega.
Virtual tarmoqdagi bitta virtual mashinani murosaga keltirish yoki uni suiiste'mol qilish bir xil tarmoq segmentidagi boshqa mashinalarga qarshi qo'shimcha hujumlar uchun platforma yaratish uchun etarli.
Agar virtual tarmoq jismoniy tarmoqqa yoki kengroq Internetga ulangan bo'lsa, u holda virtual tarmoqdagi mashinalar ularni ekspluatatsiya qilish uchun ochiq qoldirishi mumkin bo'lgan tashqi manbalarga (va tashqi ekspluatatsiya) kirish huquqiga ega bo'lishi mumkin.
Xavfsizlik moslamalari orqali o'tmasdan to'g'ridan-to'g'ri mashinalar o'rtasida o'tadigan tarmoq trafigi nazorat qilinmaydi.

Virtual tarmoqdagi virtual mashinaning (VM-VM) trafigining ko'rinmasligidan kelib chiqadigan muammolar, xuddi jismoniy tarmoqlarda topilganlarga o'xshaydi, chunki paketlar butunlay bitta apparat ichida harakatlanishi mumkin. jismoniy mezbon:

Virtual tarmoq trafigi hech qachon jismoniy kompyuter uskunasini tark etmasligi mumkinligi sababli, xavfsizlik ma'murlari VM-VM trafigini kuzata olmaydilar, ushlab turolmaydilar va shuning uchun bu trafik nima uchun kerakligini bilishmaydi.
VM-to-VM tarmoq faoliyatini bitta xost ichida qayd etish va me'yoriy muvofiqlik maqsadida virtual mashinaga kirishni tekshirish qiyinlashadi.
Virtual tarmoq resurslaridan noo'rin foydalanish va VM-VM tarmoqli kengligi sarfini topish qiyin yoki ularni tuzatish qiyin.
Virtual tarmoq yoki uning ichida ishlaydigan noodatiy yoki noo'rin xizmatlar aniqlanmay qolishi mumkin.

Jismoniy xavfsizlik choralari va amaliyotiga ziyon etkazadigan faqat virtualizatsiya qilingan muhitda ma'lum bo'lgan xavfsizlik muammolari mavjud va ularning ba'zilari virtual mashinalar texnologiyasining jismoniy mashinalarga nisbatan haqiqiy afzalliklari sifatida baholanadi:^[9]

VM-lar qasddan (yoki kutilmagan tarzda) ko'chirilishi mumkin bo'lgan ishonchli va ishonchsiz virtualizatsiya qilingan muhit o'rtasida ko'chirilishi mumkin.
VM va / yoki virtual xotira hajmini osongina klonlash va klonni virtualizatsiya qilingan muhitning istalgan qismida ishlashga tayyorlash, shu jumladan DMZ.
Ko'pgina kompaniyalar sotib olish yoki AT bo'limlarini IT xavfsizligi bo'yicha etakchi agentlik sifatida ishlatishadi, jismoniy mashina qutidan olinadigan va ishga tushirilganda xavfsizlik choralarini qo'llaydilar. Virtual mashinalar har qanday vakolatli foydalanuvchi tomonidan bir necha daqiqada yaratilishi va qog'oz izsiz ishlashni o'rnatishi mumkinligi sababli, ular ushbu holatlarda o'rnatilgan "birinchi yuklash" xavfsizligi amaliyotini chetlab o'tishlari mumkin.
VM-larda hech qanday jismoniy haqiqat yo'q, ular yaratilishining izini qoldirmaydi va (kattaroq virtualizatsiya qilingan qurilmalarda) doimiy ravishda mavjud bo'lib qoladi. Ularni ham osonlikcha yo'q qilish mumkin, chunki deyarli hech qanday raqamli imzo va hech qanday ashyoviy dalil yo'q.

Tarmoq trafigi ko'rinishi va muvofiqlashtirilmagan VM tarqalishidan tashqari, faqat virtual tarmoq, kalit va interfeyslardan foydalanadigan yolg'onchi VM (ularning barchasi kompyuterning fizik apparatidagi jarayonda ishlaydi) tarmoqni har qanday jismoniy mashina singari buzishi mumkin. jismoniy tarmoq - va odatdagi usullar bilan - hozirda xost protsessorlarining tsikllarini iste'mol qilish orqali u qo'shimcha ravishda butun virtualizatsiya qilingan muhitni va boshqa barcha VM-larni shunchaki xost fizik resurslarini engib, virtualizatsiya qilingan muhitning qolgan qismiga bog'liq ravishda tushirishi mumkin.

Ehtimol, bu muammoga aylanishi mumkin edi, ammo bu sohada yaxshi tushunilgan va an'anaviy choralar va javoblar uchun potentsial ochiq muammo sifatida qabul qilindi.^[10]^[11]^[12]^[13]

Virtual xavfsizlik devorlari

VM-VM trafigini himoya qilish, ro'yxatdan o'tkazish va nazorat qilishning bir usuli virtualizatsiya qilingan tarmoq trafigini virtual tarmoqdan va VLAN-lar orqali jismoniy tarmoqqa yo'naltirishni va shu sababli jismoniy xavfsizlik va muvofiqlik xizmatlarini taqdim etish uchun allaqachon mavjud bo'lgan xavfsizlik devoriga yo'naltirishni o'z ichiga oladi. tarmoq. VLAN trafigi jismoniy xavfsizlik devori tomonidan kuzatilishi va filtrlanishi va keyin yana virtual tarmoqqa (agar bu maqsad uchun qonuniy deb hisoblansa) va maqsadli virtual mashinaga uzatilishi mumkin.

LAN menejerlari, xavfsizlik bo'yicha mutaxassislar va tarmoq xavfsizligi sotuvchilari trafikni butunlay virtualizatsiya qilingan muhitda ushlab turish va u erdan xavfsizroq saqlash samaraliroq bo'ladimi deb hayron bo'lishlari ajablanarli emas.^[14]^[15]^[16]^[17]

Virtual xavfsizlik devori - bu xavfsizlik devori xizmati yoki jihozi butunlay virtualizatsiya qilingan muhitda ishlaydi, hattoki boshqa virtual mashina singari, lekin xuddi gipervizorning o'zida ham odatiy paketli filtrlashni ta'minlaydi va jismoniy xavfsizlik devori ta'minotini ta'minlaydi. VF virtualizatsiya qilingan muhitda ishlaydigan mehmon VM-ga an'anaviy dasturiy ta'minot xavfsizlik devori sifatida o'rnatilishi mumkin; yoki bu maqsadga muvofiq bo'lishi mumkin virtual xavfsizlik moslamasi virtual tarmoq xavfsizligini hisobga olgan holda ishlab chiqilgan; yoki u bo'lishi mumkin virtual kalit qo'shimcha xavfsizlik qobiliyatlari bilan; yoki bu VM-ning barcha faolligi tepasida joylashgan xost gipervizatorida ishlaydigan boshqariladigan yadro jarayoni bo'lishi mumkin.

Virtual xavfsizlik devori texnologiyasining hozirgi yo'nalishi - bu xavfsizlikni ta'minlaydigan virtual kalitlarning kombinatsiyasi,^[18] va virtual xavfsizlik vositalari. Ba'zi virtual xavfsizlik devorlari saytdan saytga va masofadan kirish VPN, QoS, URL filtrlash va boshqalar kabi qo'shimcha tarmoq funktsiyalarini birlashtiradi.^[19]^[20]^[21]

Ishlash

Virtual xavfsizlik devorlari tarqatish nuqtasiga qarab xavfsizlik xizmatlarini ko'rsatish uchun turli xil rejimlarda ishlashi mumkin. Odatda bu ham ko'prik rejimi yoki gipervizor rejimi^{[shubhali – muhokama qilish]}(gipervizorga asoslangan, gipervizor-rezident). Ikkalasi ham a shaklida o'ralgan holda kelishi mumkin virtual xavfsizlik moslamasi va boshqarish maqsadida virtual mashinani o'rnatishi mumkin.

Ichida ishlaydigan virtual xavfsizlik devori ko'prik rejimi jismoniy-xavfsizlik devori analogi kabi ishlaydi; u tarmoq infratuzilmasining strategik qismida - odatda tarmoqlararo virtual kommutatorda yoki ko'prikda joylashgan bo'lib, boshqa tarmoq segmentlariga mo'ljallangan va ko'prik bo'ylab harakatlanishni talab qiladigan tarmoq trafigini ushlab turadi. Manba manbasini, boradigan joyini va paket turini o'rganib chiqib hatto foydali yuk VF paketning o'tishiga ruxsat berilishi, tashlanishi, rad etilishi yoki boshqa qurilmaga uzatilishi yoki aks ettirilishi to'g'risida qaror qabul qilishi mumkin. Virtual xavfsizlik devori maydoniga dastlabki ishtirokchilar asosan ko'prik rejimida bo'lib, ko'plab takliflar ushbu xususiyatni saqlab qolishdi.

Aksincha, ishlaydigan virtual xavfsizlik devori gipervizor rejimi aslida virtual tarmoqning umuman bir qismi emas va shunga o'xshash fizik-dunyo moslamasi analogiga ega emas. Gipervizor rejimidagi virtual xavfsizlik devori virtual mashina monitori yoki gipervizator paketli in'ektsiyalarni o'z ichiga olgan VM faolligini olish uchun yaxshi joylashtirilgan joyda. Butun nazorat qilinadigan VM va uning barcha virtual apparatlari, dasturiy ta'minotlari, xizmatlari, xotirasi va xotirasi tekshirilishi mumkin^{[iqtibos kerak ]}. Bundan tashqari, gipervizorga asoslangan virtual xavfsizlik devori tarmoqning bir qismi emasligi va virtual mashina bo'lmaganligi sababli, uning funksiyasini o'z navbatida kuzatib bo'lmaydi yoki VM ostida ishlash bilan cheklangan yoki faqat virtualizatsiya qilingan tarmoqqa kirish huquqiga ega foydalanuvchilar va dasturiy ta'minot tomonidan o'zgartirilishi mumkin emas.

Ko'prik rejimidagi virtual xavfsizlik devorlari virtualizatsiya qilingan infratuzilmaning boshqa har qanday virtual mashinasi singari o'rnatilishi mumkin. U virtual mashinaning o'zi bo'lgani uchun, VM ning yo'q bo'lib ketishi va tasodifiy ko'rinishda bo'lishi, turli xil jismoniy xostlar o'rtasida ko'chib o'tishi yoki virtualizatsiya qilingan infratuzilma tomonidan boshqa muvofiqlashtirilmagan o'zgarishlar tufayli VF ning boshqa barcha VM bilan aloqasi vaqt o'tishi bilan murakkablashishi mumkin.

Virtual xavfsizlik devori tizimiga VM ma'lumotlariga kirish va virtual tarmoq kalitlariga va virtualizatsiya qilingan tarmoq interfeyslariga to'g'ridan-to'g'ri kirish imkoniyatini beruvchi VM-lar orasida yoki ular o'rtasida to'g'ridan-to'g'ri kirish imkoniyatini beradigan protsessor ilgaklari yoki modullarini o'rnatish uchun gipervizor rejimidagi virtual xavfsizlik devorlari modifikatsiyasini talab qiladi. VM-lar va tarmoq shlyuzi. Gipervizorda yashovchi virtual xavfsizlik devori xuddi shu ilgaklar yordamida paketlarni tekshirish, tushirish va yuborish kabi odatiy xavfsizlik devorlarini barcha funktsiyalarini bajarishi mumkin, ammo virtual tarmoqqa hech qanday nuqtaga tegmasdan. Gipervizor rejimidagi virtual xavfsizlik devorlari ko'prik rejimida ishlaydigan bir xil texnologiyadan ancha tezroq bo'lishi mumkin, chunki ular virtual mashinada paketlarni tekshirishni emas, aksincha yadro ichidan mahalliy apparat tezligida ishlaydi.

Shuningdek qarang

Adabiyotlar

^ "Past texnologiyali tahdidlarga qarshi kurashning jismoniy xavfsizligi kaliti" Morisey, Maykl. SearchNetworking.com, 2009 yil fevral.
^ "Jismoniy tarmoq xavfsizligi" Rodriguez, Erik. Skullbox.com 2005 yil may.
^ "Ma'lumotlar markazidagi virtual mashinalarning ijobiy va salbiy tomonlari" Chao, Wellie, DevX.com 2006 yil yanvar
^ "Virtuallashtirish orqali o'z biznesingizni o'zgartiring", Vmware Virtuallashtirish asoslari
^ "Sandbox yoki virtual mashina sizning shaxsiy hayotingizni himoya qilishga yordam beradimi?" Notenboom, Leo. 2008 yil oktyabr
^ ^a ^b "Virtual mashina xavfsizligiga tahdid darajasi; shov-shuvga ishonmang" Botelho, Bridjet. AT Bilimlar almashinuvi. Noyabr 2008
^ "Amaliy xavfsiz dunyo haqidagi meditatsiyalar" Korelc, Jastin va Ed Tittel. SearchEnterpriseLinux.com 2006 yil aprel
^ "Asosiy xavfsizlik texnologiyalari Vmware-ning ish stolini virtualizatsiya qilish dasturida juda muhim zaiflikni aniqlaydi" Asosiy xavfsizlik texnologiyalari, 2008 yil fevral
^ "Virtual mashina xavfsizligi bo'yicha so'rov" Ruben, JS. Xelsinki Texnologiya Universiteti, sanasi yo'q
^ "Virtual muhit uchun AT-audit" SANS.org, 2009 yil dekabr
^ "POWER5 Virtuallashtirish: IBM Virtual I / O Server yordamida VLANlar bilan ishlash" IBM Inc., 2008 yil noyabr
^ "Xavfsiz virtual tarmoqlar" Vettern, Joern. Redmondmag.com 2009 yil fevral
^ "Nima uchun Hyper-V virtual tarmoqlari jismoniy tarmoqlarga qaraganda xavfsizligi past" Qalqon, Greg. TechTarget SearchNetworking, 2009 yil oktyabr
^ "Virtual muhit uchun xavfsizlik masalalari" Rozenberg, Devid. Cnet News 2009 yil noyabr
^ "Dasturiy ta'minotga asoslangan kirishni boshqarish virtual va jismoniy mashinalarning aralash tarmoqlarini murakkab qoidalar to'plamisiz va yuqori texnik xarajatlarsiz himoya qiladi" Apani Inc. 2008 yil avgust
^ "Xavfsiz virtualizatsiya qilingan xosting" Altor Networks Inc.
^ "Virtual tarmoqlarni xavfsizligini ta'minlashning eng yaxshi usullari" Mur, Xetsi. Mart 2008 vmblog.com
^ Nexus 1000V ga kirish. Cisco Inc.
^ "VMsafe API-lari ehtiyotkorlik bilan IT xavfsizligi mutaxassislarini tinchlantiradi" Lukkad, VJ. Shaxsiyat va kirishni boshqarish blogi. 2009 yil avgust
^ "Virtual dunyom uchun xavfsizlik devori bo'lishi kerakmi?" VMInformer.
^ Vaziyatni o'rganish: Winsert Inc.

Qo'shimcha o'qish

"Zevs Bot EC2 bulutida paydo bo'ladi, aniqlangan, ishdan bo'shatilgan" Babkok, Charlz. InformationWeek 2009 yil dekabr
"40,000 xavfsizlik devori! Iltimos, yordam bering !?" Texiwill. Virtuallashtirish amaliyoti. 2009 yil sentyabr
"Fikr / Bizga virtual xavfsizlik nima uchun kerak?" Ben-Efrayim, Amir. Hukumat xavfsizligi yangiliklari. 2009 yil avgust
"Virtual tarmoqlaringizni xavfsiz saqlang" Zillion jurnali. 2009 yil iyul
"Virtual ko'r nuqta" Shultz, Bet. NetworkWorld. 2010 yil iyul
"Haqiqiy dunyoda bulutli xavfsizlik: 4 ta misol" Brandel, Meri. CSO: Xavfsizlik va xavf. 2010 yil iyun
"Aralashtirilgan muhitni himoya qilish - hamma ham virtualizatsiya qilinmaydi" Ogren, Erik. ComputerWorld. 2010 yil iyun
"Yangi xavfsizlik vositalari virtual mashinalarni himoya qiladi" Strom, Devid. Tarmoq dunyosi 2011 yil mart

[morisey-1] "Past texnologiyali tahdidlarga qarshi kurashning jismoniy xavfsizligi kaliti" Morisey, Maykl. SearchNetworking.com, 2009 yil fevral.

[rodriguez-2] "Jismoniy tarmoq xavfsizligi" Rodriguez, Erik. Skullbox.com 2005 yil may.

[vm1-3] "Ma'lumotlar markazidagi virtual mashinalarning ijobiy va salbiy tomonlari" Chao, Wellie, DevX.com 2006 yil yanvar

[vm2:-4] "Virtuallashtirish orqali o'z biznesingizni o'zgartiring", Vmware Virtuallashtirish asoslari

[sandbox-5] "Sandbox yoki virtual mashina sizning shaxsiy hayotingizni himoya qilishga yordam beradimi?" Notenboom, Leo. 2008 yil oktyabr

[botelho-6] "Virtual mashina xavfsizligiga tahdid darajasi; shov-shuvga ishonmang" Botelho, Bridjet. AT Bilimlar almashinuvi. Noyabr 2008

[7] "Amaliy xavfsiz dunyo haqidagi meditatsiyalar" Korelc, Jastin va Ed Tittel. SearchEnterpriseLinux.com 2006 yil aprel

[8] "Asosiy xavfsizlik texnologiyalari Vmware-ning ish stolini virtualizatsiya qilish dasturida juda muhim zaiflikni aniqlaydi" Asosiy xavfsizlik texnologiyalari, 2008 yil fevral

[reuben-9] "Virtual mashina xavfsizligi bo'yicha so'rov" Ruben, JS. Xelsinki Texnologiya Universiteti, sanasi yo'q

[why3-10] "Virtual muhit uchun AT-audit" SANS.org, 2009 yil dekabr

[why4-11] "POWER5 Virtuallashtirish: IBM Virtual I / O Server yordamida VLANlar bilan ishlash" IBM Inc., 2008 yil noyabr

[why5-12] "Xavfsiz virtual tarmoqlar" Vettern, Joern. Redmondmag.com 2009 yil fevral

[why6-13] "Nima uchun Hyper-V virtual tarmoqlari jismoniy tarmoqlarga qaraganda xavfsizligi past" Qalqon, Greg. TechTarget SearchNetworking, 2009 yil oktyabr

[rosenberg-14] "Virtual muhit uchun xavfsizlik masalalari" Rozenberg, Devid. Cnet News 2009 yil noyabr

[apani-15] "Dasturiy ta'minotga asoslangan kirishni boshqarish virtual va jismoniy mashinalarning aralash tarmoqlarini murakkab qoidalar to'plamisiz va yuqori texnik xarajatlarsiz himoya qiladi" Apani Inc. 2008 yil avgust

[altornetworks-16] "Xavfsiz virtualizatsiya qilingan xosting" Altor Networks Inc.

[vmblog-17] "Virtual tarmoqlarni xavfsizligini ta'minlashning eng yaxshi usullari" Mur, Xetsi. Mart 2008 vmblog.com

[cisco-1000v-18] Nexus 1000V ga kirish. Cisco Inc.

[kernel-19] "VMsafe API-lari ehtiyotkorlik bilan IT xavfsizligi mutaxassislarini tinchlantiradi" Lukkad, VJ. Shaxsiyat va kirishni boshqarish blogi. 2009 yil avgust

[why1-20] "Virtual dunyom uchun xavfsizlik devori bo'lishi kerakmi?" VMInformer.

[why2-21] Vaziyatni o'rganish: Winsert Inc.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]