Wirtualnie czy w skrzynce

Coraz więcej rozwiązań w dziedzinie bezpieczeństwa jest oferowanych w formie maszyny wirtualnej. Nadal jednak są dostępne fizyczne maszyny, gdyż w niektórych przypadkach specjalizowanego urządzenia nie da się zastąpić.

Wirtualnie czy w skrzynce

Początkowo rozwiązania bezpieczeństwa, takie jak zapory sieciowe czy systemy detekcji intruzów, były oferowane głównie w formie fizycznych urządzeń, wyposażonych w porty sieciowe. W tym samym czasie w serwerowniach królowała architektura silosowa, wirtualizację spotykało się naprawdę rzadko, gdyż dopiero zaczynała zdobywać popularność.

Nowa era urządzeń

Razem ze wzrostem mocy obliczeniowej procesorów rozpoczęła się era urządzeń wirtualizowanych. Obecnie każdy liczący się dostawca rozwiązań bezpieczeństwa posiada w ofercie przynajmniej jedną maszynę wirtualną.

Wirtualizowane urządzenie po uruchomieniu w standardowym środowisku wirtualizacji VMware może wykonywać te same zadania – filtrować ruch sieciowy, analizować pakiety, a także terminować ruch przychodzący. W wielu instalacjach jest to preferowany sposób wdrożenia.

Wirtualka zamiast skrzynki

Wydaje się, że maszyny wirtualne zawierające rozwiązania bezpieczeństwa mają same zalety. Wystarczy wspomnieć, że oferują elastyczność, skalowalność poziomą, a także prostotę wdrożenia. W większości przypadków właśnie w taki sposób można uruchomić zaporę sieciową kontrolującą ruch do aplikacji, skracając czas wdrożenia rozwiązania z tygodni do godzin.

Podstawową zaletą wdrożenia zapór sieciowych i niektórych opcji routingu w środowisku wirtualizowanym jest elastyczność i łatwość zarządzania ruchem. Wdrożona w ten sposób zapora sieciowa może podążać za maszyną wirtualną (będzie przenoszona razem z maszynami, z których korzysta aplikacja), zachowując połączenia i konfigurację ruchu. Instalacja taka jest możliwa także w przypadku klastra geograficznego, chociaż wymaga skrupulatnych reguł utrzymania konfiguracji sieci lub wdrożenia rozwiązań sieci definiowanej przez oprogramowanie (SDN – Software Defined Networking).

Bardzo szybka czarna skrzynka

Metoda pełnej wirtualizacji rozwiązań bezpieczeństwa sprawdza się w przypadku niewielkiego obciążenia i prostych zadań kontroli ruchu. Nie można jednak myśleć o dużym wdrożeniu w tym modelu ze względu na problemy wydajnościowe. Zadania związane z analizą ruchu na poziomie aplikacji oraz ochrona ruchu SSL intensywnie wykorzystują zarówno moc obliczeniową, jak i interfejsy sieciowe. Dzięki temu można o wiele sprawniej wykonać zadanie za pomocą rozwiązań sprzętowych, które wykorzystują specjalizowane układy scalone.

Urządzenia takie jak IDS/IPS oraz przełączniki sieciowe i routery przewidziane do obsługi dużego obciążenia zazwyczaj korzystają ze specjalizowanych mikroprocesorów. Te układy scalone są projektowane pod kątem pełnionych zadań, dlatego też niektóre z algorytmów są zaprogramowane w samych układach, a do innych wprowadza się bardzo silną akcelerację sprzętową. Jest to szczególnie odczuwalne w przypadku systemów detekcji intruzów, w których specjalizowane układy ASIC (ang. Application Specific Integrated Circuit – układ scalony do konkretnych zastosowań) są wielokrotnie szybsze od procesorów platformy x86 w obsłudze tego samego zadania.

Wadą układów ASIC jest ich słaba elastyczność – takiego układu nie można przeprogramować. Nieco wolniejsze od specjalizowanych układów są bramki logiczne w układach FPGA (ang. Field Programmable Gate Array – bezpośrednio programowalna macierz bramek), które można przeprogramować po wyprodukowaniu.

Układy FPGA są bardzo często stosowane przy cyfrowym przetwarzaniu sygnału, wykorzystuje się je także w urządzeniach klasy IDS/IPS, a także w kartach służących do akceleracji kryptograficznej. Dzięki podobnym układom, których nie ma w standardowym serwerze hostującym maszyny wirtualne, urządzenie sprzętowe może dokonać analizy ruchu sieciowego i w bardzo krótkim czasie podjąć decyzję o zablokowaniu znanego ataku.

Wadą urządzeń sprzętowych jest mała elastyczność rozwiązania, gdyż do analizy ruchu w środowisku wirtualizowanym należy cały ruch wyprowadzić z klastra wirtualizacji przez fizyczny interfejs, a następnie wprowadzić go tam z powrotem innym interfejsem. Co prawda metoda ta obniża elastyczność, gdyż wymaga przepuszczenia ruchu przez zestaw interfejsów, ale nadal przez jedno fizyczne urządzenie może przechodzić ruch z różnych sieci.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200