Виртуальное устройство безопасности - Virtual security appliance

А виртуальное устройство безопасности это компьютерное устройство что работает внутри виртуальные среды. Это устройство называется устройством, потому что оно содержит предварительно подготовленную операционную систему с усиленной защитой и приложение безопасности и работает на виртуализированном оборудовании. Оборудование виртуализировано с использованием технологии гипервизора, предоставляемой такими компаниями, как VMware, Citrix и Microsoft. Приложение безопасности может различаться в зависимости от конкретного поставщика сетевой безопасности. Некоторые поставщики, такие как Reflex Systems, решили поставлять технологию предотвращения вторжений в виде виртуализированного устройства или многофункционального сервера для защиты от уязвимостей, предоставляемого Blue Lane. Тип технологии безопасности не имеет значения, когда речь идет об определении виртуального устройства безопасности, и более важен, когда речь идет об уровнях производительности, достигаемых при развертывании различных типов безопасности в качестве виртуального устройства безопасности. Другие проблемы включают видимость гипервизора и виртуальной сети, которая работает внутри.

История устройства безопасности

Традиционно устройства безопасности рассматривались как высокопроизводительные продукты, в которых могли быть встроены специализированные микросхемы ASIC, обеспечивающие более высокие уровни производительности за счет специализированного аппаратного подхода. Многие поставщики начали называть готовые операционные системы с выделенными приложениями на выделенном серверном оборудовании, такими как IBM, Dell и офшорные бренды, «приборами». Терминология, связанная с прибором, хотя сейчас широко используется, отошла от своих первоначальных корней. Администратор ожидает, что любая поддерживающая ОС Linux будет использовать монолитное ядро, поскольку аппаратная платформа предположительно статична и контролируется производителем. Однако следующие примеры настроены для использования загружаемых модулей ядра, что отражает динамический характер базовых аппаратных платформ, используемых менеджерами по продуктам. «Техника» имеет разную степень административной открытости. Энтерасис Датчики Dragon версии 7 IPS (GE250 и GE500) представляют собой слегка закаленную версию Slackware Linux распространение с административными уязвимостями и доставка с анонимным корневым доступом - предпочтительный метод администрирования базовой ОС. Консоли управления Motorola AirDefense поставляются как «устройство» без поддержки корневого доступа. Задачи административной настройки выполняются через текстовые меню, запущенные от имени непривилегированного пользователя. Websense Сенсорные устройства DSS используют CentOS 5.2 ниже, а также разрешить root-доступ во время установки. McAfee старше e-Policy Orchestator Дистрибутивы используют дистрибутив на основе RedHat 7, но модификации типичных файлов конфигурации ОС сбрасываются при перезагрузке. Основная настройка большинства этих устройств осуществляется через веб-интерфейсы. Утверждение о том, что исправления не требуются для устройств, является менее точным, чем утверждение о том, что поставщики будут менее склонны предоставлять быстрые модульные исправления без полного восстановления образа устройств. Такие компании как NetScreen Технологии и Переломный момент определенные устройства безопасности с помощью специального оборудования с настраиваемыми ASIC в них используются высокопроизводительные технологии межсетевого экрана и предотвращения вторжений. Эти компании определили свои конкретные рынки в начале 2000–2004 годов.

Современное использование термина

В то время устройства безопасности имели не только специализированные микросхемы ASIC и специализированное оборудование, но также поставлялись на операционных системах с усиленной защитой и имели предварительно установленные приложения безопасности. Эта возможность обеспечивала производительность, а также простоту установки, и в результате поставщики программного обеспечения начали называть предустановленные приложения безопасности на аппаратном обеспечении общего назначения «Устройствами безопасности». Эта модель стала настолько привлекательной, что поставщики программного обеспечения, такие как Stonesoft или же Программное обеспечение CheckPoint начали поставлять готовые операционные системы со своими приложениями безопасности после долгой истории продаж программного обеспечения, которое необходимо было устанавливать на существующее оборудование и операционные системы клиентов. С бурным ростом технологии виртуализации, которая дала возможность виртуализировать оборудование и создать несколько программного обеспечения, то в 2005 году поставщикам средств безопасности стало очевидно, что новый метод развертывания их устройств безопасности не за горами. Впервые в истории поставщик теперь может поставить операционную систему повышенной безопасности с предустановленным приложением безопасности, обещающим простоту развертывания без необходимости подключения выделенного аппаратного устройства.

Соревнование

Со всеми новыми технологиями приходят компромиссы, а в случае виртуальных устройств безопасности компромисс - это многократные ограничения производительности. В прошлом такие компании, как Tipping Point, поставляли технологию предотвращения вторжений в форм-факторе устройства и обеспечивали высочайший уровень производительности за счет использования специализированных интеграционных схем [ASIC] и программируемых вентильных матриц [FPGA], которые размещены на специализированных платах аппаратных шин. Сегодня такие компании, как Reflex Security и Blue Lane, виртуализируют предотвращение вторжений, брандмауэры и другие технологии прикладного уровня. Перед этими целями стоит задача обеспечить оптимальные уровни производительности, поскольку в виртуализированном мире приложения, работающие в операционных системах, конкурируют за одни и те же аппаратные вычислительные ресурсы. В мире физических устройств эти ресурсы выделены и с меньшей вероятностью страдают от состояния блокировки в ожидании ресурсов.

Некоторые приложения безопасности поддерживают меньшее количество динамических состояний. Технологии межсетевого экрана обычно проверяют меньшие объемы данных, такие как заголовки TCP и UDP, и обычно поддерживают меньшее количество данных. Таким образом, простые технологии межсетевого экрана IP с большей вероятностью будут кандидатами на виртуализацию. Многие технологии предотвращения вторжений используют сигнатуры и динамические конфигурации, которые обеспечивают глубокую проверку полезной нагрузки, а иногда и мониторинг потоков сеансов. Предотвращение вторжений также обычно требует жесткого сохранения и обслуживания состояния и интенсивного использования динамических данных в памяти. Часто высокодинамичные сегменты памяти данных менее поддаются дедупликации, поскольку они более динамичны, чем сегменты кода. Поскольку общие ресурсы требуются чаще, это приводит к конфликту ресурсов, который может увеличить задержку, особенно для систем, пересылающих дейтаграммы. Такие технологии, как принудительное применение уровня приложений Blue Lane, менее подвержены влиянию, поскольку они проверяют меньше трафика: тот, который направляется к известным уязвимостям, пропуская при этом невинный трафик.

Другая причина проблем с производительностью заключается в том, что динамические сигнатуры технологий IPS заставляют приложения для проверки запускать пользовательские процессы вне ядра операционной системы, чтобы избежать сбоев, вызванных перезагрузкой ядра или перезагрузкой системы. Пользовательские процессы обычно страдают от более высоких накладных расходов из-за их отделения от управляющей памяти операционной системы и политик управления процессами. Технологии брандмауэра традиционно работают как часть ядра операционной системы. Проблемы с производительностью снижаются благодаря тесной связи с внутренними компонентами операционной системы.

Для преодоления этих ограничений с приложениями IPS традиционно использовались ASIC и многоядерные процессоры. Эта роскошь недоступна в виртуализированных средах, потому что технологии виртуализации обычно не разрешают прямой аппаратный доступ к базовому оборудованию для конкретных приложений. Виртуализация хорошо подходит для приложений общего назначения, которые в противном случае не использовались бы на выделенном оборудовании для хостинга. Чрезмерная компенсация потери определенного оборудования за счет использования большего, чем обычно, количества вычислительных циклов для шифрования или памяти для поддержания состояния сводит на нет цель виртуализации серверов.

Примеры виртуальных устройств безопасности

дальнейшее чтение

Смотрите также