Wirtualna zapora sieciowa

Wirtualna zapora ogniowa ( VF ) to usługa lub urządzenie zapory sieciowej działające całkowicie w zwirtualizowanym środowisku , które zapewnia zwykłe filtrowanie i monitorowanie pakietów zapewniane przez fizyczną zaporę sieciową. VF można zrealizować jako tradycyjną zaporę programową na maszynie wirtualnej gościa , specjalnie skonstruowane wirtualne urządzenie zabezpieczające zaprojektowane z myślą o bezpieczeństwie sieci wirtualnej , wirtualny przełącznik z dodatkowymi funkcjami bezpieczeństwa lub zarządzanym procesem jądra działającym w hiperwizorze hosta .

Tło

Tak długo, jak sieć komputerowa działa całkowicie na fizycznym sprzęcie i okablowaniu, jest to sieć fizyczna. W związku z tym może być chroniony zarówno przez fizyczne zapory, jak i ściany przeciwpożarowe ; pierwszym i najważniejszym zabezpieczeniem fizycznej sieci komputerowej zawsze były i pozostają fizyczne, zamykane, ognioodporne drzwi. Tak było od początku istnienia Internetu, a strukturalne ściany przeciwpożarowe i zapory sieciowe były przez długi czas zarówno konieczne, jak i wystarczające.

Od około 1998 r. nastąpił gwałtowny wzrost wykorzystania maszyn wirtualnych (VM) jako dodatku do — czasami zamiast — maszyn fizycznych w celu oferowania różnego rodzaju usług komputerowych i komunikacyjnych w sieciach lokalnych i szerszym Internecie. Zalety maszyn wirtualnych zostały dobrze zbadane gdzie indziej.

Maszyny wirtualne mogą działać w izolacji (na przykład jako system operacyjny gościa na komputerze osobistym) lub w zunifikowanym zwirtualizowanym środowisku nadzorowanym przez nadzorczy monitor maszyny wirtualnej lub proces „ hiperwizora ”. W przypadku, gdy wiele maszyn wirtualnych działa w tym samym zwirtualizowanym środowisku, mogą one być połączone ze sobą za pośrednictwem sieci wirtualnej składającej się ze zwirtualizowanych przełączników sieciowych między maszynami i zwirtualizowanych interfejsów sieciowych w maszynach. Wynikowa sieć wirtualna mogłyby wtedy zaimplementować tradycyjne protokoły sieciowe (na przykład TCP ) lub wirtualne udostępnianie sieci, takie jak VLAN lub VPN , chociaż te ostatnie, choć przydatne z własnych powodów, nie są w żaden sposób wymagane.

Istnieje ciągłe przekonanie, że maszyny wirtualne są z natury bezpieczne, ponieważ są postrzegane jako „ piaskownice ” w systemie operacyjnym hosta. Często uważa się, że host w podobny sposób jest zabezpieczony przed wykorzystaniem ze strony samej maszyny wirtualnej i że host nie stanowi zagrożenia dla maszyny wirtualnej, ponieważ jest fizycznym zasobem chronionym tradycyjnymi zabezpieczeniami fizycznymi i sieciowymi. Nawet jeśli nie zakłada się tego wprost, wczesne testy infrastruktury wirtualnej często odbywają się w odizolowanych środowiskach laboratoryjnych, w których bezpieczeństwo z reguły nie jest głównym problemem lub bezpieczeństwo może wysunąć się na pierwszy plan dopiero wtedy, gdy to samo rozwiązanie jest wprowadzane do produkcji lub na chmura komputerowa , w której nagle maszyny wirtualne o różnych poziomach zaufania mogą znaleźć się w tej samej sieci wirtualnej działającej na dowolnej liczbie hostów fizycznych.

Ponieważ są to prawdziwe sieci, sieci wirtualne mogą być narażone na te same luki, które od dawna są związane z siecią fizyczną, z których niektóre to:

• Użytkownicy na maszynach w sieci wirtualnej mają dostęp do wszystkich innych maszyn w tej samej sieci wirtualnej.
• Kompromitacja lub sprzeniewierzenie jednej maszyny wirtualnej w sieci wirtualnej wystarczy, aby zapewnić platformę do dodatkowych ataków na inne maszyny w tym samym segmencie sieci.
• Jeśli sieć wirtualna jest połączona z siecią fizyczną lub szerszym Internetem, maszyny w sieci wirtualnej mogą mieć dostęp do zasobów zewnętrznych (i zewnętrznych exploitów), co może narazić je na wykorzystanie.
• Ruch sieciowy przechodzący bezpośrednio między maszynami bez przechodzenia przez urządzenia zabezpieczające jest niemonitorowany.

Problemy wynikające z prawie niewidocznego ruchu między maszynami wirtualnymi (VM-to-VM) w sieci wirtualnej są dokładnie takie same, jak te występujące w sieciach fizycznych, ale komplikuje je fakt, że pakiety mogą przemieszczać się całkowicie wewnątrz sprzętu pojedynczej maszyny. host fizyczny:

• Ponieważ ruch w sieci wirtualnej może nigdy nie opuścić fizycznego hosta, administratorzy bezpieczeństwa nie mogą obserwować ruchu między maszynami wirtualnymi, nie mogą go przechwycić, a zatem nie mogą wiedzieć, do czego służy ten ruch.
• Rejestrowanie aktywności sieciowej między maszynami wirtualnymi w ramach jednego hosta i weryfikacja dostępu do maszyny wirtualnej w celu zapewnienia zgodności z przepisami staje się trudne.
• Niewłaściwe wykorzystanie zasobów sieci wirtualnej i zużycie przepustowości między maszynami wirtualnymi są trudne do wykrycia lub naprawienia.
• Nietypowe lub nieodpowiednie usługi działające w sieci wirtualnej lub w jej obrębie mogą pozostać niewykryte.

Istnieją problemy bezpieczeństwa znane tylko w środowiskach zwirtualizowanych, które sieją spustoszenie w fizycznych środkach i praktykach bezpieczeństwa, a niektóre z nich są reklamowane jako rzeczywista przewaga technologii maszyn wirtualnych nad maszynami fizycznymi:

• Maszyny wirtualne mogą być celowo (lub nieoczekiwanie) migrowane między zaufanymi i niezaufanymi środowiskami wirtualnymi, w których migracja jest włączona.
• Maszyny wirtualne i/lub wirtualne woluminy pamięci masowej można łatwo sklonować, a klonować tak, aby działał w dowolnej części zwirtualizowanego środowiska, w tym w strefie DMZ .
• Wiele firm wykorzystuje swoje działy zakupów lub działy IT jako główną agencję ds. bezpieczeństwa IT, stosując środki bezpieczeństwa w momencie wyjęcia fizycznej maszyny z pudełka i zainicjowania. Ponieważ maszyny wirtualne mogą być tworzone w ciągu kilku minut przez dowolnego autoryzowanego użytkownika i uruchamiane bez śladu na papierze, mogą one w takich przypadkach ominąć ustalone praktyki bezpieczeństwa IT związane z „pierwszym uruchomieniem”.
• Maszyny wirtualne nie mają fizycznej rzeczywistości, nie pozostawiając śladu ich powstania ani (w większych zwirtualizowanych instalacjach) ich dalszego istnienia. Można je równie łatwo zniszczyć, nie pozostawiając prawie żadnego podpisu cyfrowego i absolutnie żadnych fizycznych dowodów.

Oprócz problemów z widocznością ruchu sieciowego i nieskoordynowanym rozprzestrzenianiem się maszyn wirtualnych, nieuczciwa maszyna wirtualna korzystająca tylko z sieci wirtualnej, przełączników i interfejsów (z których wszystkie działają w procesie na fizycznym sprzęcie hosta) może potencjalnie uszkodzić sieć, tak jak każda fizyczna maszyna na sieć fizyczna — i to w zwykły sposób — chociaż teraz, zużywając cykle procesora hosta, może dodatkowo obniżyć całe zwirtualizowane środowisko i wszystkie inne maszyny wirtualne, po prostu przeciążając zasoby fizyczne hosta, od których zależy reszta zwirtualizowanego środowiska.

To prawdopodobnie stało się problemem, ale było postrzegane w branży jako problem dobrze zrozumiany i potencjalnie otwarty na tradycyjne środki i odpowiedzi.

Wirtualne zapory ogniowe

Jedna z metod zabezpieczania, rejestrowania i monitorowania ruchu między maszynami wirtualnymi polegała na kierowaniu zwirtualizowanego ruchu sieciowego z sieci wirtualnej do sieci fizycznej za pośrednictwem sieci VLAN, a tym samym do istniejącej już fizycznej zapory ogniowej w celu zapewnienia usług bezpieczeństwa i zgodności dla fizycznego sieć. Ruch sieci VLAN może być monitorowany i filtrowany przez fizyczną zaporę ogniową, a następnie przekazywany z powrotem do sieci wirtualnej (jeśli zostanie to uznane za uzasadnione) i dalej do docelowej maszyny wirtualnej.

Nic dziwnego, że menedżerowie sieci LAN, eksperci ds. bezpieczeństwa i dostawcy zabezpieczeń sieciowych zaczęli się zastanawiać, czy nie byłoby bardziej efektywne utrzymywanie ruchu w całości w środowisku zwirtualizowanym i zabezpieczanie go stamtąd.

Wirtualna zapora ogniowa jest zatem usługą lub urządzeniem zapory sieciowej działającym całkowicie w zwirtualizowanym środowisku — nawet jako inna maszyna wirtualna, ale równie łatwo w samym hiperwizorze — zapewniając zwykłe filtrowanie pakietów i monitorowanie, które zapewnia fizyczna zapora ogniowa. VF można zainstalować jako tradycyjną zaporę programową na gościnnej maszynie wirtualnej już działającej w zwirtualizowanym środowisku; lub może to być specjalnie skonstruowane wirtualne urządzenie zabezpieczające zaprojektowane z myślą o bezpieczeństwie sieci wirtualnej; lub może to być przełącznik wirtualny z dodatkowymi funkcjami bezpieczeństwa; lub może to być zarządzany proces jądra działający w hiperwizorze hosta, który znajduje się na szczycie całej aktywności maszyny wirtualnej.

Obecny kierunek w technologii wirtualnych zapór ogniowych to połączenie wirtualnych przełączników z zabezpieczeniami i wirtualnych urządzeń zabezpieczających. Niektóre wirtualne zapory integrują dodatkowe funkcje sieciowe, takie jak VPN typu site-to-site i zdalny dostęp, QoS, filtrowanie adresów URL i inne.

Operacja

Wirtualne zapory ogniowe mogą działać w różnych trybach w celu świadczenia usług bezpieczeństwa, w zależności od miejsca wdrożenia. Zazwyczaj są to pomostowe lub hiperwizorowe ^{[ wątpliwe – dyskusja ]} (oparte na hiperwizorze, rezydentne hiperwizor). Oba mogą być dostarczane jako wirtualne urządzenie zabezpieczające i mogą instalować maszynę wirtualną do celów zarządzania.

Wirtualna zapora sieciowa działająca w trybie pomostowym działa jak jej odpowiednik w świecie fizycznym; znajduje się w strategicznej części infrastruktury sieciowej — zwykle na wirtualnym przełączniku lub moście międzysieciowym — i przechwytuje ruch sieciowy przeznaczony dla innych segmentów sieci, który musi przejść przez most. Badając źródło pochodzenia, miejsce docelowe, typ pakietu, a nawet ładunek VF może zdecydować, czy pakiet ma zostać dopuszczony do przejścia, odrzucony, odrzucony, przekazany lub zdublowany do innego urządzenia. Początkowi uczestnicy wirtualnej zapory sieciowej korzystali głównie z trybu pomostowego i wiele ofert zachowuje tę funkcję.

Natomiast wirtualna zapora ogniowa działająca w trybie hiperwizora w rzeczywistości nie jest w ogóle częścią sieci wirtualnej i jako taka nie ma analogicznego urządzenia w świecie fizycznym. Wirtualna zapora ogniowa działająca w trybie hiperwizora znajduje się w monitorze maszyny wirtualnej lub hiperwizorze , gdzie jest dobrze przygotowana do przechwytywania aktywności maszyny wirtualnej, w tym wstrzykiwania pakietów. Można zbadać całą monitorowaną maszynę wirtualną i cały jej wirtualny sprzęt, oprogramowanie, usługi, pamięć i pamięć masową, podobnie jak zmiany w nich ^{[ potrzebne źródło ]} . Ponadto, ponieważ wirtualna zapora ogniowa oparta na hiperwizorze nie jest częścią właściwej sieci i nie jest maszyną wirtualną, jej funkcjonalność nie może być z kolei monitorowana ani zmieniana przez użytkowników i oprogramowanie ograniczone do działania pod maszyną wirtualną lub mające dostęp tylko do zwirtualizowanej sieci.

Wirtualne zapory sieciowe działające w trybie mostu można zainstalować tak samo, jak każdą inną maszynę wirtualną w zwirtualizowanej infrastrukturze. Ponieważ jest to wtedy sama maszyna wirtualna, relacje VF ze wszystkimi innymi maszynami wirtualnymi mogą z czasem się skomplikować z powodu znikania i pojawiania się maszyn wirtualnych w losowy sposób, migracji między różnymi hostami fizycznymi lub innych nieskoordynowanych zmian, na które pozwala zwirtualizowana infrastruktura.

Wirtualne zapory ogniowe działające w trybie hiperwizora wymagają modyfikacji jądra fizycznego hipernadzorcy hosta w celu zainstalowania haków procesowych lub modułów umożliwiających systemowi wirtualnej zapory dostęp do informacji o maszynach wirtualnych oraz bezpośredni dostęp do przełączników sieci wirtualnych i zwirtualizowanych interfejsów sieciowych przenoszących ruch pakietowy między maszynami wirtualnymi lub między Maszyny wirtualne i brama sieciowa. Wirtualna zapora sieciowa rezydująca w hiperwizorze może wykorzystywać te same punkty zaczepienia do wykonywania wszystkich typowych funkcji zapory sieciowej, takich jak kontrola pakietów, odrzucanie i przekazywanie, ale w żadnym momencie nie dotykając sieci wirtualnej. Wirtualne zapory ogniowe działające w trybie hiperwizora mogą być znacznie szybsze niż ta sama technologia działająca w trybie pomostowym, ponieważ nie wykonują inspekcji pakietów na maszynie wirtualnej, ale raczej z poziomu jądra z natywną szybkością sprzętową.

Zobacz też

• Wirtualne urządzenie zabezpieczające
• Wirtualizacja funkcji sieciowych

Dalsza lektura

• „Bot Zeus pojawia się w chmurze EC2, wykryty, odrzucony” Babcock, Charles. InformationWeek grudzień 2009
• „40 000 zapór ogniowych! Proszę o pomoc !?” Texiwill. Praktyka wirtualizacji . wrzesień 2009
• „OPINIA / Po co nam wirtualne bezpieczeństwo?” Ben-Efraim, Amir. Wiadomości rządowe dotyczące bezpieczeństwa . sierpień 2009
• Magazyn Zillion „Zadbaj o bezpieczeństwo sieci wirtualnych” . lipiec 2009
• „Wirtualny martwy punkt” Schultz, Beth. Świat sieci . lipiec 2010 r
• „Bezpieczeństwo chmury w świecie rzeczywistym: 4 przykłady” Brandel, Mary. CSO: Bezpieczeństwo i ryzyko . czerwiec 2010
• „Zabezpieczanie środowisk mieszanych — nie wszystkie zostaną zwirtualizowane” Ogren, Eric. Świat Komputerów . czerwiec 2010
• „Nowe narzędzia zabezpieczające chronią maszyny wirtualne” Strom, David. Network World marzec 2011