Устройство виртуальной безопасности

скрывать В этой статье есть несколько проблем. Пожалуйста, помогите улучшить его или обсудите эти проблемы на странице обсуждения . ( Узнайте, как и когда удалять эти шаблонные сообщения ) Эта статья не цитирует какие-либо источники . Пожалуйста, помогите улучшить эту статью , добавив цитаты на надежные источники . Неиспользованный материал может быть оспорен и удален . Найдите источники:   «Виртуальное устройство безопасности» — новости   · газеты   · книги   · ученые   · JSTOR ( август 2011 г. ) ( Узнайте, как и когда удалить это сообщение ) Эта статья может сбивать с толку или быть непонятной читателям . Помогите, пожалуйста, уточнить статью . Возможно обсуждение этого вопроса на странице обсуждения . ( Март 2008 г. ) ( Узнайте, как и когда удалить это сообщение ) ( Узнайте, как и когда удалить это сообщение )

Устройство виртуальной безопасности — это компьютерное устройство , работающее внутри виртуальных сред . Оно называется устройством, потому что оно предварительно оснащено усиленной операционной системой и приложением безопасности и работает на виртуализированном оборудовании. Аппаратное обеспечение виртуализировано с использованием технологии гипервизора, поставляемой такими компаниями, как VMware , Citrix и Microsoft . Приложение безопасности может различаться в зависимости от конкретного поставщика сетевой безопасности. Некоторые поставщики, такие как Reflex Systems, решили предоставлять технологию предотвращения вторжений в виде виртуализированного устройства или многофункциональной защиты от уязвимостей серверов, предоставляемой Blue Lane. Тип технологии безопасности не имеет значения, когда речь идет об определении устройства виртуальной безопасности, и более важен, когда речь идет об уровнях производительности, достигаемых при развертывании различных типов безопасности в качестве устройства виртуальной безопасности. Другие проблемы включают видимость гипервизора и виртуальной сети, которая работает внутри.

Традиционно устройства безопасности рассматривались как высокопроизводительные продукты, в которых могли быть специальные микросхемы ASIC, обеспечивающие более высокий уровень производительности благодаря специальному аппаратному подходу. Многие поставщики начали называть готовые операционные системы со специализированными приложениями на выделенном серверном оборудовании таких компаний, как IBM, Dell и оффшорные бренды, «устройствами». Терминология приборов, хотя и широко используемая в настоящее время, отошла от своих первоначальных корней. Администратор ожидает, что любая базовая ОС Linux будет использовать монолитное ядро, поскольку аппаратная платформа предположительно является статической и контролируется поставщиком. Однако следующие примеры настроены на использование загружаемых модулей ядра, что отражает динамическую природу базовых аппаратных платформ, используемых менеджерами по продуктам. «Техника» имеет разную степень административной открытости. Датчики IPS Enterasys Dragon версии 7 (GE250 и GE500) представляют собой слегка усиленную версию дистрибутива Slackware Linux , полную административных уязвимостей и поставляемую с анонимным корневым доступом — предпочтительным методом администрирования базовой ОС. Консоли управления Motorola AirDefense поставляются как «устройства» без поддерживаемого root-доступа. Задачи административной настройки выполняются через текстовые меню, запускаемые от имени непривилегированного пользователя. Сенсорные устройства Websense DSS используют CentOS 5.2, а также предоставляют root-доступ во время установки. McAfee В старых дистрибутивах e-Policy Orchestator используется дистрибутив на базе RedHat 7, но изменения в типичных файлах конфигурации ОС сбрасываются при перезагрузке. Первичная настройка большинства этих устройств осуществляется через веб-интерфейсы. Вывод о том, что для устройств не требуются исправления, менее точен, чем вывод о том, что поставщики будут менее склонны предоставлять быстрые модульные исправления без полной переустановки образов устройств. Такие компании, как NetScreen Technologies и TippingPoint, определили устройства безопасности, имея специальное оборудование со специальными микросхемами ASIC для обеспечения высокопроизводительных технологий межсетевого экрана и предотвращения вторжений соответственно. Эти компании определили свои конкретные рынки в начале 2000–2004 годов.

Устройства безопасности того времени не только имели специальные микросхемы ASIC и специальное оборудование, но также поставлялись на защищенных операционных системах и имели предустановленные приложения безопасности. Эта возможность обеспечила производительность, а также простоту установки, и в результате поставщики программного обеспечения начали называть предустановленные приложения безопасности на оборудовании общего назначения «устройствами безопасности». Эта модель стала настолько привлекательной, что поставщики чистого программного обеспечения, такие как Stonesoft или CheckPoint Software, начали поставлять готовые операционные системы со своими приложениями безопасности после долгой истории продажи программного обеспечения, которое необходимо было устанавливать на существующее оборудование и операционные системы клиентов. С бурным развитием технологий виртуализации, которые привели к появлению возможности виртуализировать аппаратное обеспечение и создавать несколько экземпляров компьютеров с программным обеспечением, в 2005 году поставщики систем безопасности стали очевидными, что на горизонте появился новый метод развертывания их устройств безопасности. Впервые в истории поставщик смог предоставить защищенную операционную систему с предустановленным приложением безопасности, что обещало простоту развертывания без необходимости подключения специального аппаратного устройства.

Со всеми новыми технологиями приходится идти на компромисс, а в случае с виртуальными устройствами безопасности компромиссом является многократное ограничение производительности. В прошлом такие компании, как Tipping Point, поставляли технологию предотвращения вторжений в форм-факторе устройства и обеспечивали высочайший уровень производительности за счет использования интеграционных схем для конкретных приложений [ASIC] и программируемых пользователем вентильных матриц [FPGA], которые размещаются на выделенных платах аппаратной шины. Сегодня такие компании, как Reflex Security и Blue Lane, виртуализируют систему предотвращения вторжений, межсетевые экраны и другие технологии прикладного уровня. Эти цели связаны с обеспечением оптимального уровня производительности, поскольку в виртуализированном мире приложения, работающие в операционных системах, конкурируют за одни и те же аппаратные вычислительные ресурсы. В мире физических устройств эти ресурсы выделены и с меньшей вероятностью пострадают от статуса блокировки в ожидании ресурсов.

Некоторые приложения безопасности поддерживают меньше динамических состояний. Технологии брандмауэра обычно проверяют меньшие объемы данных, такие как заголовки TCP и UDP, и обычно сохраняют меньшее состояние. Таким образом, простые технологии межсетевых экранов IP с большей вероятностью будут кандидатами на виртуализацию. Многие технологии предотвращения вторжений используют сигнатуры и динамические конфигурации, которые позволяют глубоко проверять полезную нагрузку, а иногда и отслеживать потоки сеансов. Предотвращение вторжений также обычно требует длительного хранения и обслуживания состояний, а также интенсивного использования динамических данных в памяти. Часто высокодинамичные сегменты памяти данных менее поддаются дедупликации, поскольку они более динамичны, чем сегменты кода. Поскольку общие ресурсы требуются чаще, это приводит к конкуренции за ресурсы, что может увеличить задержку, особенно для систем, пересылающих дейтаграммы. Такие технологии, как принудительное применение уровня приложений Blue Lane, подвергаются меньшему воздействию, поскольку они проверяют меньше трафика: тот, который направляется к известным уязвимостям, пропуская при этом невинный трафик.

Другая причина проблем с производительностью заключается в том, что динамические сигнатуры технологий IPS заставляют приложения проверки запускать пользовательские процессы за пределами ядра операционной системы, чтобы избежать сбоев, вызванных перезагрузкой ядра или системы. Пользовательские процессы обычно страдают от более высоких накладных расходов из-за их отделения от политики управления памятью и процессами управляющих операционных систем. Технологии брандмауэра традиционно работают как часть ядра операционной системы. Проблемы с производительностью уменьшаются благодаря тесной связи с внутренними компонентами операционной системы.

Чтобы преодолеть эти ограничения, с приложениями IPS традиционно используются ASIC и многоядерные процессоры. Эта роскошь недоступна в виртуализированных средах, поскольку технологии виртуализации обычно не обеспечивают прямого аппаратного доступа к базовому оборудованию для конкретного приложения. Виртуализация хорошо подходит для приложений общего назначения, которые в противном случае были бы недостаточно использованы на оборудовании выделенного хостинга. Чрезмерная компенсация потери конкретного оборудования за счет использования большего, чем обычно, количества вычислительных циклов для шифрования или памяти для поддержания состояния сводит на нет цель виртуализации серверов.

• Citrix Access Gateway VPX
• Виртуальное устройство SecureSpan XML уровня 7 для VMware
• Виртуальное устройство сервера Microsoft Internet Security and Acceleration (ISA)
• VMware vShield

• http://www.networkworld.com/news/2007/041807-virtual-security.html

• Виртуальная машина
• Виртуальное устройство
• Виртуальный брандмауэр
• виртуализация сетевых функций