Narzędzia do zwirtualizowanej ochrony

Nowe na rynku firmy podejmują się tworzenia własnych rozwiązań zapewniających bezpieczeństwo środowisku wirtualnemu.

Jednym z ciekawszych dostępnych narzędzi jest VSA (Virtual Security Appliance), stworzone przez firmę Reflex Security. Umożliwia ono administratorom sprawdzanie pakietów transmitowanych w sieci środowiska wirtualnego. W appliance wbudowano mechanizmy zapory ogniowej, segmentacji sieci, systemów NAC (Network Access Control), IPS oraz IDS. Ponadto, znajdziemy tu funkcje, takie jak: monitoring i śledzenie zmian w konfiguracjach poszczególnych maszyn, wizualizacja topologii, analiza wydajności, zarządzanie cyklem życia i regułami bezpieczeństwa. W skład tego narzędzia wchodzą trzy elementy: VMC (Virtual Management Center), VSA (Virtual Security Appliance) oraz VMC Client, dając razem pełny obraz tego, co dzieje się w danym czasie w środowisku wirtualnym. W wirtualnej infrastrukturze na jednym z serwerów hostujących musi działać serwer VMC, który zarządza i zbiera dane o wydajności oraz zaszłych zdarzeniach. VMC jest również interfejsem, przez który następuje integracja z zewnętrznym serwerem zarządzania środowiskiem wirtualnym.

Kolejnym elementem tego rozwiązania jest oprogramowanie instalowane na stacji zarządzającej administratora - VMC Client. Działa tylko z systemami operacyjnymi serii Microsoft Windows i umożliwia dokonywanie wszelkich operacji konfiguracyjnych, zarządzania i raportowania. VSA może być wdrażany zarówno w ścieżce transmisji pakietów, jak i poza nią, dając odpowiednio możliwość blokowania podejrzanych pakietów lub tylko ich monitorowania i segmentacji. Jak podaje producent, Reflex VMC wymaga jednego wirtualnego procesora, 1 GB pamięci RAM oraz ok. 2 GB przestrzeni dyskowej (2 GB pozwala zachować 2 mln zmian konfiguracji). Silnik inspekcji pakietów VSA wymaga również jednego wirtualnego porcesora oraz ok. 800 MB pamięci RAM. Produkt licencjonowany jest na liczbę hypervisorów oraz procesorów.

Z kolei dostawca zarządzalnych usług bezpieczeństwa - firma Catbird - oferuje rozwiązanie V-Security oparte na architekturze SOA (Service Oriented Architecture).

V-Security to prawdziwy kombajn. Wykrywa działające w sieci nieautoryzowane maszyny wirtualne, kontroluje rozprzestrzenianie się maszyn wirtualnych i naruszanie reguł bezpieczeństwa, pełni funkcję NAC, IDS, IPS oraz segmentuje sieć. W skład zestawu narzędzi ochronnych wchodzi także tzw. HypervisorShield, którego zadaniem jest monitorowanie stanu hypervisora. Instalowany V-agent może śledzić aktywność sieciową pomiędzy maszynami wirtualnymi, maszynami a hypervisorem oraz siecią zewnętrzną. V-agent jest agentem bezstanowym, nie ma interfejsu użytkownika, jest konfigurowany i zarządzany z centralnego portalu webowego opartego na architekturze in-the cloud.

Kolejnym produktem przeznaczonym dla środowisk wirtualnych jest Virtual Network Security Analyzer (VNSA) firmy Altor Networks, zapewniający pełny podgląd ruchu między maszynami wirtualnymi. Rozwiązanie to składa się z dwóch elementów. Pierwszy, Altor Agent Virtual Appliance jest instalowany na serwerze pełniącym rolę hypervisora, który podłącza się do wirtualnych przełączników i pasywnie je monitoruje. Na jedną maszynę fizyczną w zupełności wystarcza jeden Altor Agent. Umożliwia on monitoring i wykrywanie zagrożeń ruchu sieciowego w czasie rzeczywistym. Drugi element VNSA - Altor Center może działać na zewnętrznej maszynie fizycznej lub na dedykowanej maszynie wirtualnej. Konsoliduje informacje o statusie maszyn wirtualnych, przepływającym ruchu, protokołach, działających aplikacjach oraz stanie sieci na wszystkich przełącznikach wirtualnych. Altor Center komunikuje się z VMware Virtual Center, pobierając informacje o sieci i hostach, co znacząco ułatwia konfigurację i zarządzanie. Altor Agent Virtual Appliance oraz Altor Center do poprawnego działania wymagają po 512 MB pamięci operacyjnej RAM. Baza oprogramowania Altor Center zajmuje ok. 8 GB przestrzeni dyskowej. Oprócz narzędzia VNSA, Altor oferuje zaporę ogniową Altor Virtual Firewall, która jest dostosowana do dynamicznej charakterystyki środowiska wirtualnego i potrafi migrować wraz z chronionymi systemami w ramach funkcjonalności VMotion. Producent zamierza uwzględniać również obsługę technologii wirtualizacji innych dostawców (Citrix/Xen, Microsoft).

Firmą, na którą warto zwrócić uwagę, myśląc o bezpieczeństwie środowiska wirtualnego, jest Montego Networks. Jej flagowym produktem jest programowy przełącznik HyperSwitch z licznymi funkcjami zapewnienia ochrony komunikacji między maszynami wirtualnymi. Switch segmentuje ruch, wykorzystując 802.1Q VLAN oraz reguły bezpieczeństwa oparte na portach, chroniąc sieć przed rozlewaniem się ataków z jednej maszyny wirtualnej na pozostałe. Filtrowanie odbywa się w warstwach drugiej oraz trzeciej modelu OSI, wg adresów MAC oraz IP, zarówno źródłowych, jak i miejsca przeznaczenia. Narzędzie ma także możliwość filtracji w warstwie transportowej TCP/UDP. Ponadto integruje się z domeną Active Directory, zbierając informacje o próbach logowania na poszczególne maszyny wirtualne. Przełącznik sam rozpoznaje i wykrywa podłączone do niego serwery, monitorując ewentualne pojawienie się obcych maszyn wirtualnych. Wdrożony protokół drzewa rozpinającego 802.1D pozwala tworzyć złożone i redundantne topologie sieci w warstwie wirtualnej wraz z równoważeniem obciążeń oraz QoS. Dzięki otwartości platformy, jaką zapewnia HyperSwitch, możliwe jest dodawanie do warstwy ochronnej kolejnych funkcji, takich jak: systemy dogłębnej inspekcji pakietów, zarządzanie patchami dla serwerów, monitorowanie sieci i analiza behawioralna oraz oprogramowanie antywirusowe i antyszpiegowskie, dostarczane przez innych producentów. Produkt przeznaczony jest dla środowisk wirtualnych opartych na hypervisorach VMware, Citrix, Virtual Iron oraz Microsoft. Jak twierdzi producent, działanie przełącznika pochłania - w zależności od skomplikowania środowiska - do 15% użycia zasobów procesora.

Ubiegłoroczne przejęcie przez VMware firmy Blue Lane Technologies potwierdza tylko rosnące zainteresowanie problemem bezpieczeństwa infrastruktury wirtualnej. Blue Lane jest producentem wirtualnego urządzenia VirtualShield, które pracuje jako patch proxy między maszynami wirtualnymi a serwerem hypervisora. Ideą metody patch proxy jest zmiana przepływającego ruchu sieciowego przez przeprowadzenie transformacji korekcyjnej w przepływających pakietach, funkcjonalnie odpowiadającej poprawce wydanej przez producenta danego oprogramowania. Dzięki transformacji wszystkich pakietów, te zawierające złośliwy kod zostają zneutralizowane i przepuszczone dalej, chyba że patch wymaga zablokowania i odrzucenia ruchu. Gdy tylko na stronach producentów oprogramowania wykorzystywanego w wirtualnym środowisku produkcyjnym pojawią się nowe aktualizacje i łatki luk bezpieczeństwa, VirtualShield automatycznie pobiera odpowiadające im poprawki dla strumienia sieciowego, wykorzystując usługę subskrypcji. Kiedy ruch sieciowy przepływa przez VirtualShield, odpowiednie sesje aplikacji są dekodowane i monitorowane wobec potencjalnych zagrożeń. Narzędzie firmy Blue Lane zapewnia ochronę w czasie rzeczywistym dla całego dynamicznego środowiska wirtualnego, nawet serwerów będących w stanie uśpienia. Zarządzanie wieloma instancjami VirtualShield, zlokalizowanymi na wielu serwerach ESX, odbywa się z poziomu pojedynczej konsoli przez przeglądarkę internetową. Oprogramowanie VirtualShield wymaga 1 GB pamięci RAM, natomiast VirtualShield Manager 2 GB RAM i potrafi zarządzać nawet setką instancji VirtualShield.

Zmiana modelu bezpieczeństwa

Bez względu na to, czy pracujemy w środowisku fizycznym czy wirtualnym, ryzyko ataku na naszą infrastrukturę jest zawsze takie samo i nie można go bagatelizować.

W obecnych centrach danych dokonuje się swego rodzaju ewolucja. Wskutek coraz śmielszej adaptacji w nich technologii wirtualizacyjnych, te dotychczas statyczne środowiska stopniowo stają się dynamiczne. To z kolei wymusza konieczność zmiany architektury modelu bezpieczeństwa, który będzie chronił zarówno środowisko fizyczne, jak i wirtualne. Zapewnienie odpowiednio dopasowanego modelu bezpieczeństwa wymaga szczegółowego rozważenia wymagań stawianych przez poszczególne systemy, w tym charakterystyki środowiska wirtualnego, dostępnych zasobów, poziomu ryzyka, potencjalnych kierunków ataków, topologii sieci, prawa dostępu i zarządzania.

W roku 2008 pojawiło się na rynku wiele produktów z obszaru zwirtualizowanego bezpieczeństwa. Pozwalają one zabezpieczać serwery wirtualne przed zagrożeniami płynącymi z zewnątrz oraz z wewnątrz puli zasobów. Wiele z tych narzędzi pozostaje jeszcze na etapie dojrzewania i rozwoju. Czas pokaże, które z nich zdołają najlepiej zrealizować stawiane przed nimi zadania ochrony. Nie należy również zapominać, że kluczowym i często najsłabszym elementem modelu bezpieczeństwa jest człowiek, dlatego zawsze warto podnosić swoje kompetencje w zakresie wirtualizacji i jej ochrony. Sukces w zapewnieniu bezpieczeństwa zawsze jest wypadkową fachowo wykształconych ludzi, dobrych praktyk i procesów oraz solidnych technologii.