Firewall virtual
A firewall virtual (VF) es una firewall de red servicio o dispositivo que ejecuta íntegramente dentro un entorno virtualizado y que generalmente filtrado de paquetes y monitoreo a través de un firewall de red física. La FV puede ser observada como un firewall de software tradicional en un huésped máquina virtual ya en ejecución, un propósito appliance de seguridad virtual diseñado con virtual seguridad de la red en la mente, una switch virtual con funciones de seguridad adicionales, o un proceso del kernel administrado ejecutando en el host hipervisor.
Contenido
- 1 Fondo
- 1.1 Cortafuegos virtuales
- 2 Operación
- 3 Ver también
- 4 Referencias
- 5 Lectura adicional
Fondo
Mientras una red de ordenadores funciona totalmente sobre cableado y hardware físico, es una red física. Como tal puede ser protegido por la física firewalls y cortafuegos por igual; la protección de la primera y más importante para una red de equipo físico siempre fue y sigue siendo una puerta física, cerrada, resistente a la llama.[1][2] Desde el inicio de la Internet este fue el caso, y estructural cortafuegos y firewalls de red fueron por un tiempo necesario y suficiente.
Desde aproximadamente 1998 ha habido un aumento explosivo en el uso de máquinas virtuales (VM) además, a veces en vez de — máquinas físicas para ofrecer muchos tipos de servicios de informática y comunicaciones en redes de área local y en Internet más amplio. Las ventajas de las máquinas virtuales también son exploradas en otros lugares.[3]4]
Máquinas virtuales pueden funcionar de forma aislada (por ejemplo como un sistema de operativo de invitado en una computadora personal) o bajo un virtualizado entorno supervisado por un supervisor monitor de máquina virtual o"hipervisor"el proceso. En el caso donde muchas máquinas virtuales operan bajo el mismo entorno virtualizado podrían conectarse entre sí a través de un red virtual que consiste en conmutadores de red virtualizados entre las máquinas y interfaces de red virtualizados dentro de las máquinas. La resultante red virtual podría entonces implementar protocolos de red tradicionales (por ejemplo TCP) o red virtual provisioning como VLAN o VPN, aunque este último si bien es útil para sus propias razones es de ninguna manera necesaria.
Hay una percepción constante que las máquinas virtuales son inherentemente seguras porque se les considera como"espacio aislado"dentro del sistema operativo.[5]6][7] A menudo se cree que el anfitrión, de igual manera, se asegura contra la explotación de la máquina virtual de sí mismo[8] y que el propietario no es ninguna amenaza para la máquina virtual ya que es un activo físico protegido por la física tradicional y de seguridad de la red.6] Aun cuando esto no se asume explícitamente, primeras pruebas de infraestructuras virtuales a menudo procede de entornos de laboratorio aislado donde la seguridad no es en general una preocupación inmediata, o seguridad sólo puede venir a la palestra cuando se está moviendo en la producción o en la misma solución un nube de computadoras, donde de repente máquinas virtuales de niveles de confianza diferentes puede enrollar para arriba en la misma red virtual que se ejecuta a través de cualquier número de hosts físicos.
Porque son verdaderas redes, redes virtuales pueden acabar sufriendo el mismo tipo de vulnerabilidades durante mucho tiempo asociados con una red física, algunas de ellas:
- Los usuarios de máquinas dentro de la red virtual tienen acceso a otras máquinas en la misma red virtual.
- Comprometer o malversación de una máquina virtual en una red virtual es suficiente para proporcionar una plataforma para ataques adicionales contra otras máquinas en el mismo segmento de red.
- Si una red virtual es internetworked la red física o Internet más máquinas en la red virtual tenga acceso a recursos externos (y ataques externos) que podría dejarlos abiertos a la explotación.
- Tráfico de red que pasa directamente entre las máquinas sin necesidad de pasar a través de dispositivos de seguridad es incontrolado.
Los problemas creados por la casi invisibilidad de tráfico entre virtual machine (VM-a-VM) en una red virtual son exactamente como los de redes físicas, complicadas por el hecho de que los paquetes pueden ser enteramente dentro del hardware de un único host físico:
- Porque el tráfico de red virtual nunca podrá dejar el hardware del servidor físico, los administradores de seguridad no pueden observar VM-VM de tráfico no puede interceptarlo y por lo tanto no puede saber lo que trata.
- Registro de actividad de red de la VM-VM en un solo host y verificación de acceso de la máquina virtual para fines de cumplimiento de la normativa se vuelve difíciles.
- Inadecuado uso de recursos de la red virtual y consumo de ancho de banda VM-VM son difíciles de descubrir o rectificar.
- Servicios inusuales o inadecuados funcionamiento en o dentro de la red virtual podrían pasar desapercibidos.
Hay problemas de seguridad conocidos sólo en entornos virtualizados que causan estragos con las medidas de seguridad física y las prácticas, y algunas de ellas se promociona como reales ventajas de la tecnología de máquina virtual sobre máquinas físicas:[9]
- VMs pueden deliberadamente (o inesperada) migrar entre confiables y no confiables donde se habilita la migración de entornos virtualizados.
- Máquinas virtuales o volúmenes de almacenamiento virtual pueden ser fácilmente clonados y el clon hecho para correr en cualquier parte del entorno virtualizado, como un DMZ.
- Muchas empresas usan sus compras o departamentos como IT seguridad organismo, aplicando las medidas de seguridad en el momento de una máquina física se toma de la caja e inicializada. Puesto que las máquinas virtuales se pueden crear en pocos minutos por cualquier usuario autorizado y el sistema funciona sin un rastro de papel, pueden en estos casos derivación establecidos "primer arranque" prácticas de seguridad.
- VMs no tienen ninguna realidad física dejar no una huella de su creación ni (en grandes instalaciones virtualizadas) de su existencia. Ellos pueden ser fácilmente destruidos, dejando casi sin firma digital y absolutamente ninguna evidencia física alguna.
Además de la visibilidad del tráfico de red cuestiones y descoordinada VM sprawl, un pícaro VM usando sólo la red virtual y los aparatos interfaces (todos que funcionan en un proceso en el hardware del host físico) potencialmente pueden romper la red como podría cualquier máquina física en una red física y en las maneras habituales — aunque ahora consumiendo ciclos de CPU que puede además aportar todo el entorno virtualizado y todas las otras VMs con él simplemente por dominar los recursos físicos de host depende el resto del entorno virtualizado.
Esto era probable que se convierta en un problema, pero percibió dentro de la industria como un problema bien entendido y potencialmente abierta a las respuestas y medidas tradicionales.[10][11][12][13]
Cortafuegos virtuales
Un método para garantizar, registrar controlar tráfico de VM-VM involucrado en el tráfico de red virtualizada de la red virtual y la red física a través de VLAN de enrutamiento y por lo tanto en un firewall físico ya presentes para proporcionar servicios de seguridad y el cumplimiento de la red física. El tráfico VLAN podría ser monitoreado y filtrado por el firewall físico y luego pasa a la red virtual (si se considera la legítima para ello) y a la máquina virtual de destino.
No es de extrañar, LAN directivos, expertos y proveedores de seguridad de la red comenzaron a preguntarse si podría ser más eficiente para mantener el tráfico totalmente dentro del entorno virtualizado y asegurar de allí.14][15]16][17]
Un firewall virtual entonces es un servicio de firewall o aparato funcionando totalmente dentro de un entorno virtualizado, como otra máquina virtual, pero apenas como fácilmente dentro del hipervisor propio, proporcionando el paquete habitual filtrado y seguimiento que un firewall físico proporciona. La FV puede instalarse como un firewall de software tradicional en un invitado VM ya está ejecutando en el entorno virtualizado; o puede ser un propósito appliance de seguridad virtual diseñado con la seguridad de la red virtual en mente; o puede ser un switch virtual con capacidades adicionales de seguridad; o puede ser un proceso de kernel administrado en el hipervisor de host que se encuentra en la cima de toda actividad.
La dirección actual en tecnología de firewall virtual es una combinación de switches virtuales seguridad capaz,[18] y dispositivos de seguridad virtual. Algunos cortafuegos virtuales integran funciones adicionales de red como el sitio a sitio y acceso remoto VPN, QoS, filtrado de URL y más.[19]20][21]
Operación
Cortafuegos virtuales pueden funcionar en modos diferentes para proporcionar servicios de seguridad, dependiendo del punto de despliegue. Por lo general éstos son modo de puente o modo de hipervisor (basada en hypervisor hypervisor residente). Ambos pueden venir encogimiento envuelto como un appliance de seguridad virtual y se puede instalar una máquina virtual para la gestión.
Un firewall virtual en modo de puente actúa como su cortafuegos de mundo físico análogo; se encuentra en una zona estratégica de la infraestructura de red, generalmente en una inter-red virtual switch o bridge — e intercepta el tráfico destinado para otros segmentos de red y necesidad de recorrer el puente de red. Examinando el origen de la fuente, el destino, el tipo de paquete es y incluso la carga la FV puede decidir si el paquete debe ser permitió el paso, cayó, rechazado, o transmitido o reflejado a algún otro dispositivo. Los participantes iniciales en el campo virtual firewall eran en gran parte a modo de puente, y muchas ofertas conservan esta característica.
Por el contrario, un firewall virtual en modo de hipervisor no es realmente parte de la red virtual, y como tal no tiene ningún dispositivo de mundo físico análogo. Un firewall virtual hypervisor-modo reside en la monitor de máquina virtual o hipervisor donde está bien posicionada para capturar la actividad incluyendo las inyecciones de paquete. Todo el seguimiento VM y todo su hardware virtual, software, servicios, memoria y almacenamiento pueden examinarse, como cambios en estas. Además, puesto que un firewall virtual basada en hipervisor no es parte de la red apropiada y no es una máquina virtual su funcionalidad no supervisada a su vez o alterada por los usuarios y el software que se limita a ejecutándose bajo una máquina virtual o tener acceso a la red virtualizada.
Cortafuegos virtuales modo de puente se pueden instalar como cualquier otra máquina virtual en la infraestructura virtualizada. Desde luego es una máquina virtual, la relación de la FV a la VM puede complicarse con el tiempo debido a la VMs desapareciendo y apareciendo en forma aleatoria, migración entre distintos hosts físicos, u otros cambios permitidos por la infraestructura virtualizada.
Cortafuegos virtuales hypervisor-modo requieren una modificación en el kernel de hypervisor host físico para instalar ganchos de proceso o módulos lo que permite el acceso al sistema de cortafuegos virtual a la información de VM y acceso directo a los switches de red virtual y virtualizar las interfaces de red móvil tráfico de paquetes entre VMs o entre VMs y el gateway de la red. El firewall virtual de hipervisor residente puede usar los ganchos mismo para luego realizar todas las funciones de cortafuegos tradicionales como inspección de paquetes, caída y forwarding pero sin tocar realmente la red virtual en cualquier momento. Cortafuegos virtuales hypervisor-modo pueden ser mucho más rápidos que la misma tecnología que se ejecuta en modo de puente porque no hacen la inspección de paquetes en una máquina virtual, sino más bien desde dentro del núcleo a velocidades de hardware nativo.
Ver también
- Appliance de seguridad virtual
- La función virtualización de red
Referencias
- ^ "clave de seguridad de red física en la lucha contra las amenazas simples" Morisey, Michael. SearchNetworking.com, Feb de 2009.
- ^ "Seguridad de red física" Rodríguez, Erik. Skullbox.com de mayo de 2005.
- ^ "Los Pros y los contras de las máquinas virtuales en el centro de datos" Chao, Wellie, DevX.com Jan de 2006
- ^ «Transformar su negocio con la virtualización», Fundamentos de la virtualización de Vmware
- ^ "¿Un sandbox o máquina virtual ayuda a proteger tu privacidad?" Notenboom, Leo. De octubre de 2008
- ^ a b "niveles de amenaza de seguridad de máquina Virtual; no creen que el bombo" Botelho, Bridget. Intercambio de conocimientos de informática. De noviembre de 2008
- ^ "Meditaciones sobre un mundo prácticamente seguro" Korelc, Justin y Ed Tittel. SearchEnterpriseLinux.com Apr de 2006
- ^ "Core Security Technologies Descubre vulnerabilidades críticas en Software de virtualización de Vmware" Core Security Technologies, Feb de 2008
- ^ «Un estudio sobre la seguridad de máquina Virtual» Rubén, JS. Universidad Tecnológica de Helsinki, sin fecha
- ^ "Auditar para el entorno Virtual" SANS.org, Dec de 2009
- ^ «Virtualización POWER5: Cómo trabajar con redes VLAN utilizando el servidor Virtual de i/os de IBM» IBM Inc. Nov de 2008
- ^ «Seguro redes virtuales» Wettern, Joern. Redmondmag.com Feb de 2009
- ^ por qué redes virtuales de Hyper-V son menos seguras que las redes físicas" Escudos, Greg. TechTarget SearchNetworking, Oct de 2009
- ^ "Consideraciones de seguridad para entornos virtuales" Rosenberg, David. Cnet noticias Nov de 2009
- ^ "Gestión de acceso basado en software protege redes mixtas de Virtual y física máquinas sin alta y conjuntos de reglas complejas de arriba" Apani Inc. de agosto de 2008
- ^ "Secure Hosting virtualizado" Altor Networks Inc.
- ^ "Las mejores prácticas para la seguridad de redes virtuales" Moore, Hezi. Vmblog.com de marzo de 2008
- ^ Introducción al Nexus 1000V. Cisco Inc.
- ^ "APIs VMsafe tranquilizar a cuidado con profesionales de seguridad TI" Lukkad, VJ. Identidad y acceso gestión Blog. Aug de 2009
- ^ "Debo tener un Firewall para mi mundo Virtual?" VMInformer.
- ^ Estudio de caso: Winsert Inc.
Lectura adicional
- "Zeus Bot aparece en nube EC2, detectado, despedidos" Babcock, Charles. InformationWeek Dec de 2009
- "40.000 firewalls! ¿Ayuda por favor!? " Texiwill. La práctica de la virtualización. Sept de 2009
- «OPINIÓN / ¿por qué necesitamos seguridad virtual? " Ben-Efraim, Amir. Gobierno seguridad noticias. Aug de 2009
- "Proteger sus redes virtuales" Zillion Magazine. De julio de 2009
- "El punto ciego virtual" Schultz, Beth. NetworkWorld. De julio de 2010
- "seguridad en el mundo real en la nube: 4 ejemplos" Brandel, María. OSC: Seguridad y riesgo. De junio de 2010
- "asegurar mezcla ambientes - no todo el mundo se van a virtualizar" Ogren, Eric. ComputerWorld. De junio de 2010
- "Nuevas herramientas de seguridad protegen las máquinas virtuales" Strom, David. Mundo de la red De marzo de 2011
Otras Páginas
- Pension alimenticia (pelicula de 1949)
- Lista de agentes farmaceuticos cardiacos
- Dedicacion y amor eterno al rescate de animales
- Samsung Focus 2
- Narlq
- Gamma Sigma Sigma (categoria estudiante las organizaciones establecidas en 1952)
- OpenCorporates
- Desviacion a la izquierda (medicina)
- Red Italia
- Trastorno del neurodesarrollo
- Exceso de velocidad (motor)
- Irene Vecchi
- Pyknocytosis