Arkisto ajaksi 'Virtualization "luokkaan

VMware nopeasti polku Versus Slow Path Palomuurit

30 elokuu 2010

Monet meistä ovat nyt työskennellä virtuaalisten palomuurien. Tein aikaisemmin post suhteen vahvuudet ja heikkoudet turvallisuuden virtuaalinen maailma , mutta tänään haluan puhua palomuuri mahdollisuuksista VMware. Siellä on paljon jännitystä koskevat VMwaren suhteellisen uusi VMsafe API . Erityisesti kaikki ovat sekoitus luoda / käyttöön nopeasti polku palomuurit. Mutta ovatko kaikki nopeasti polku toteutukset tasa-arvoisia? Onko turvallisuuskysymykset kanssa menossa nopeasti polku ratkaisu? Katsotaanpa sukeltaa ja nähdä.

Jakautuminen VMsafe

Kanssa vapauttamaan VMsafe turvallisuus API, VMware on lisännyt vaihtoehtoja toteuttamisesta turvallisuuden vSphere ympäristössä sallimalla myyjät kytkeä suoraan hypervisor käteispeleissä 0. VMsafe koostuu kolmesta osasta:

  • VDDK - Disk Block tarkastus. API on julkisesti julkaistu.
  • vCompute - CPU ja muisti API. Ei ole julkisesti vapautettu. Tuntematon jotka ovat kolmansien osapuolten saatavissa, jos mitään.
  • vNetwork - API seurata / tankin välillä vNIC ja vSwitch. Ei ole julkisesti vapautettu. Parhaan tietoni mukaan vain Altor Networks & Reflex Systems on pääsy (kaksi myyjät jotka auttoivat kehittämiseen API).

Erityisesti haluan puhua vNetwork API. Kun valvoa verkkoliikennettä virtausta ESX isäntä, on olemassa kaksi mahdollista toteuttamista, "hidas tie" ja "nopea tie".

Hidas Path

Hidas polku on yksinkertaisin täytäntöönpanoa ja joka meillä on ollut käytössä vuosia. Käytännössä tämä on vain VM vieras, samanlainen kuin kaikki muut VM vieras, käynnissä ESX isäntä. Tyypillisesti jokainen asiakas on liitetty ainutlaatuinen vSwitch, ja jokainen näistä vSwitches on liitetty ainutlaatuinen vNIC on palomuuri. Tämä on samanlainen kuin legacy palomuurin asennuksen, mutta toteutettu käytännössä. Hyöty Täytäntöönpanosta hitaasti polku on, että voit suorittaa täyden isku OS mitään kirjastoja tai palveluita tarvitaan tukemaan palomuurin.

Nopeasti polku

Nopea tie on tehokkaasti rengas 0 kuljettaja liittää suoraan hypervisor ytimeen. Tämä mahdollistaa ulkopuolinen toimittaja hyödyntää hypervisor asetettavaksi keskenään vNIC / vSwitch yhteys. Koska nopea polku ajurin ollessa ytimien yhteydessä, se lisää minimaalinen yläpuolella järjestelmään. Tuloksena on koodin suorittamisen sisällä nopeasti polku on huomattavasti nopeampi kuin sama koodi teloitettiin sisällä hidas polku (siis VMware nimeämistapa jokaisen yhteydessä). Kuormitus ESX isäntä on minimoitu, joten lopputulos on voit suorittaa paljon virtuaalista vierasta.

Fast Vs Slow

Joten se kuulostaa mitä haluaisi tehdä kaikkensa nopeasti polku, mutta on olemassa monia kysymyksiä. Nopea tie on kernel ajuri kytkemistä osaksi minimoitu hypervisor, ei koko isku käyttöjärjestelmä. Tämä rajoittaa kirjastot ja palvelut palomuuri on käytettävissä ohjaukseen liikenteen sujuvuutta. Lisäksi olemme kytkemällä ytimen ajuri joten siellä on vakuuttanut, että se ei paisunut hypervisor, lisäävät hyökkäys pinnan tai häiritä muita hypervisor toimintoja. VMware tekee koodikatselmus kaikki nopeasti polku ajurit ennen levittämistä. Joten jos voisin teoriassa toteuttaa kaikki minun koodin nopeasti polku, en olisi VMware hyväksyntää ennen jokaista korjaustiedoston tai ominaisuus vapauttaa.

Tässä mielessä, myyjä väitti "nopea tie" tuki on oikeastaan ​​ehdi toteuttaa osan niiden koodin nopeasti polku, osa on hidas tie, ja sitten luoda liittimen välille. Kuinka paljon kuormaa sijoitetaan järjestelmä riippuu kuinka paljon tämä koodi toteutetaan nopeasti polku ja kuinka paljon se toteutetaan hidas tie.

Mahdolliset nopeasti polku käyttöönotot

Esimerkiksi myyjä voi halutessaan kirjoittaa nopeasti polku kuljettaja että yksinkertaisesti tunnelit kaikki paketit takaisin hidas tie toteutettu palomuuri. Hidas polku koodi sitten määrittää jos liikenne on hyväksytty tai hylätty, jossa välitetään paketteja lähetetään takaisin nopeasti polku koodi sisällyttämistä hypervisor ohjaus kanava. Vaikka tämä olisi helpoin tapa käyttöön nopeasti polku, ja luultavasti turvallisin ja varmin, se antaisi ainakin suorituskyvyn eduista. Kuormitus ei todennäköisesti olisi paljon parempi kuin täydellinen hitaasti polun toteuttamista. En näe tätä vaihtoehtoa olevan erittäin houkutteleva perintö palomuuri myyjät, koska se vaatisi vähiten muutoksia niiden nykyisen koodin että samalla mahdollisuus vaatia "nopeasti polku tukea".

Toinen vaihtoehto olisi käyttää hidas polku tilaa hallinnollisia toimintoja nopeasti polku kuljettaja toimii palomuurin moottori. Niinpä esimerkiksi palomuurin ylläpitäjä loisi politiikan avulla käyttöliittymä käynnissä hidas tie VM, joka työnnä politiikan alas nopeasti polku kuljettaja. Tässä kokoonpanossa nopeasti polku kuljettaja on kopio politiikkaa, jotta liikenteen ohjaus voidaan toteuttaa välittömästi. Tuloksena on nopeampi liikenne käsittelyä suppean järjestelmän kuormitus. Kaupan pois on Kookkaammat koodin Ring 0.

On myös mahdollista toteuttaa näiden kahden seoksesta. Esimerkiksi Voisin käyttää nopeasti polku kuljettaja toteuttaa palomuurin politiikan, mutta sitten siirtää kaikki "hyväksytty" paketteja takaisin hidas tie järjestelmän tunkeutumisen tarkistaa, virustarkistuksen tai mitä tarvitaan. Hyväksyttävä paketit sitten siirretään takaisin nopeasti polku ohjain paikoilleen. Joten tässä kokoonpanossa kaikki "pudonnut" paketteihin hoidetaan nopeilla polkua, kun hyväksytään paketteja vuorovaikutuksessa hidas polku komponentti.

Sivuhuomautuksena, sinun on pidettävä yllä info mielessä harkittaessa kaikki vNetwork toteutukset, ei vain palomuureja. VNetwork API voidaan käyttää myös politiikan täytäntöönpanoa, QoS, kerääminen verkon tilastot jne. Esimerkiksi aivan ensimmäinen vNetwork toteutus oli todella VMwaren Lab Manager. Tätä työkalua käytetään itse Service Provisioning eikä sisällä palomuuria komponentti (tämä toteutetaan kautta vShield).

Yhteenveto

Vaikka VMwaren tuote, joka integroituu VMsafe voi ehdottomasti olla "hidas tie" täytäntöönpanosta, on erittäin epätodennäköistä, että tuotetta voidaan pitää vain "nopeasti polku" täytäntöönpanoa. Jokainen nopea polku tuote on todennäköisimmin olemaan hybridi. On vain kysymys kuinka paljon koodia olemassa "nopeasti polku" tilaa vastaan ​​"hitaan polun" tilaa. Kun lääkettä koskevia nopeasti polku tukea, sinun täytyy kaivaa hieman syvemmälle analysoida täytäntöönpanoa, jotta voitaisiin kartoittaa todellisen suorituskyvyn hyötyjä.

Ei kommentteja »

Posted in Virtualization

Ovatko virtualisoitu Systems enemmän tai vähemmän turvallinen?

18 toukokuu 2010

Minulla on ollut edellä esitettyyn kysymykseen tarpeeksi monta kertaa, että tunsin sen arvoinen blogi. Vaikka muutama vuosi sitten vastaus on saattanut "epävarmemmaksi", tänään vastaus on "niin". Tiedän, kuulostaa Chris ovat varauksellisia, mutta että vastaus todellakin tarkimmin kuvaa nykytilaa tekniikkaa.

Virtualisointi muuttaa kaiken

Olen kuullut muutamia ihmisiä huomautus, että virtualisointi on aikeissa vaikutus teollisuuden samalla tavalla kuin Internet teki 90-luvulla. Ollakseni rehellinen, uskon, että on hyödyllistä, että lausunnossa. Vuonna 90-luvun alussa useimmat ihmiset juoksivat IPX, AppleTalk, NetBUI ja lukuisia muita pöytäkirjoja suljettuja verkkoja. Loppuun mennessä 90, useimmat ihmiset juoksivat IP yksinomaan yhteyden koko maailmaa. Näin sen teimme liiketoimintaa sekä tapaamme soveltaa turvallisuutta, täysin muuttunut vuosien että 10 vuotta. Sekä verkonhallinta ja turvallisuus taitoja, jotka olivat kärjessä vuonna 1990 olivat kaikki mutta hyödyttömiä vuoteen 1999 mennessä.

Virtualisointi alkaa ylösajamiseen on sama vaikutus teollisuudelle. Virtualisointi käyttöönotto vaatii täydellistä uudelleenarviointia hakemisesta turvallisuutta. Back in 1990, adminit jotka yksinkertaisesti kytketty Internetiin, ottamatta huomioon miten tämä vaikuttaa heidän verkko, paloi iso aikaa. Olemme jonossa nähdä samanlaisia ​​tuloksia kuin ihmiset hyväksymään virtualisointi.

Mikä tekee Virtualisointi vähemmän turvallinen

Akilleen kantapää virtualisointi on ohjelmiston itse. Toivomme voimme luottaa ohjelmisto pitää vieras järjestelmien päässä toisistaan, samoin kuin vastaanottavan ja / tai hypervisor. On kaksi suurta ongelmaa tämän odotuksen:

  1. Mitään ohjelmistoa ei Bug ilmaisia
  2. Ohjelmisto voidaan väärin

Muutama vuosi sitten Core Tutkimus osoitti he voisivat päästä pois vieras ja saa täyden määräysvallan kone-käyttöjärjestelmä . Vaikka hypervisor on tarkoitus rajoittaa, että vastuiden tyypin, olemme varmasti nähneet tapauksia, joissa jopa hypervisor on sivuutettu . Olemme jopa nähneet tapausta ohjelmisto tulee hyödyntää vain ajettavat virtualisoidussa ympäristössä . Nämä linkit näyttävät pienen läpileikkauksen virtualisointi ongelmia, jotka on löydetty viime vuosina. Google voi antaa sinulle enemmän täydellinen lista, jos olet kiinnostunut.

Joten varovainen turvallisuus ammatillinen tulee olemaan varovaisia ​​sokeasti luottaa ohjelmisto voidaan turvata. Ongelma on myyjät eivät aina tätä samaa lähestymistapaa. Ota VMware niiden ESX (pian ESXi) tuote esimerkkinä. Monet meistä olivat ällikällä lyötyjä, kun VMware edustaja ilmoitti CanSecWest että se oli teoriassa mahdotonta hyökätä ESX hypervisor . Kun me yksinkertaisesti olettaa, että jotakin on särkymätön, joku luovempi aikoo keksiä keino lyödä läpi .

Eräs suurimmista huolenaiheista on ESX / ESXi, että VMware on suunnitellut sen olevan modulaarinen (via VMSafe ). Hyvänä puolena tämä tarkoittaa, että ulkopuoliset toimittajat voivat luoda tuotteita, jotka auttavat parantamaan hypervisor toimivuutta ja turvallisuutta. Haittapuolena tässä lisää merkittävästi mahdollisuuksia huono koodi otetaan käyttöön, joka voi vaarantaa tietoturvan.

Olemme nähneet hyvä esimerkki tästä aiemmin. Marcus Ranum luotu Gauntlet palomuuri, joka tuolloin oli yksi kaikkein turvallisin ja potkia Butt turvalaitteiden käyttöön. Kun kolmikirjaiminen virastojen halusi paras turvallisuus, he kääntyivät Gauntlet. Marcus myydään Gauntlet on Network Associates (myöhemmin tuli McAfee), joka aloitti välittömästi siihen on lisätty ominaisuuksia. Ei kestänyt kauan ennen kuin tasainen jono haavoittuvuuksia oltiin löydetty, jokainen otettu käyttöön näiden uusia "ominaisuuksia". Sieltä tuote menetti turvallisuus uskottavuus ja liukui pois tutkan.

Nyt se on varmasti mahdollista lisätä ominaisuuksia ja pitää asiat turvallista. FreeBSD ihmiset ovat erinomainen esimerkki siitä, miten tämä oikein. Turvallisuuden varmistamiseksi ne pitää erittäin tiukka auditointiprosessi . Onko se täydellinen? Ehdottomasti ei, mutta niiden auditointiprosessi on asettanut riman turvallisen ohjelmiston käyttöönottoon. Mitään onnea VMware tekee samanlaisia, mutta en ole kuullut mitään buzz tästä ole.

Getting Your Head Straight

OK, joten emme voi sokeasti luottaa virtualisointiohjelmistoa pitää hyökkääjät loitolla. Voimme kuitenkin vielä ryhtyä varotoimiin voidaan minimoida vaikutuksia, jos pahin ei tapahdu. Yksi suurimmista vaiheita voit on miettiä, millä palvelimella saada isännöi, ja mitä muita asiakkaiden järjestelmät saavat ajaa samaan laatikkoon. Suojausvyöhyke käsite käyttämä verkko arkkitehdit on yhtä soveltaa tässä tapauksessa.

Suojausvyöhyke on yksinkertaisesti kokoelma järjestelmiä, joilla on sama suhteellinen riskitaso. Esimerkiksi Web-ja SMTP-palvelimet ovat yleensä kaikki sijaitsevat DMZ, koska ne kaikki on samanlaisia ​​riski suora hyökkäys. On sisäosan verkon, työasemien sijoitetaan yleensä eri suojausvyöhykkeeseen kuin palvelimet. Tämä johtuu palvelimien juurikaan ole pääsyä Internetiin, kun pöytäkoneet ovat yleensä saa suoraan. Tämä asettaa työasemat suurempi riski hyökätä kuin palvelimiin.

Voimme soveltaa tätä samaa logiikkaa toteutettaessa virtualisointiin. DMZ-palvelin ja sisäinen palvelin ei tulisi vieraita samalla laitteisto (sekä CPU ja disk array). Näin voisi mahdollistaa hyökkääjän luoda vaihtoehtoista reittiä meidän verkkoon. Eikä tarvitse välittää minkä tahansa palomuurin, nids, maaohjelmat yms. laitteet, jotka on otettu käyttöön viiraan, hyökkääjä saattaa pystyä päästä sisäiset resurssit kautta virtualisointiohjelmisto. Onko se helppo hyökkäys? Ei siitä, mitä olemme toistaiseksi nähneet. Toiminnallinen hyödyntää on löydetty kuitenkin, joten miksi ottaa turhia riskejä, jos emme tarvitse.

Muuten, nämä samat suojausvyöhykkeeseen sääntöjä olisi sovellettava sinun virtualisoitu verkon vaihteen. Esimerkiksi se on huono idea käyttää samaa fyysistä kytkin VLAN DMZ ja sisäisen verkon. Olen nähnyt pari asiakkaat saavat rättiväsynyt niin.

Mikä tekee Virtualisointi turvallisempi

Onneksi suojauksen näkökulmasta, virtualisointi ei ole kaikki huonoja uutisia. Itse asiassa on olemassa joitakin hyvin viileä turvallisuuskäytäntöjä voit soveltaa virtualisoidussa ympäristössä, et yksinkertaisesti voi tehdä ilman sitä. Tämä oli yksi syy aloimme käyttää virtualisointi sisällä Honeynet jo vuonna 2000.

Yksi suurimmista turvallisuuskysymykset me kohtaamme tänään ytimen tason rootkit . Mikä tekee tästä rasitusta haittaohjelmia niin salakavala on se tehokkaasti kääntyy käyttöjärjestelmän itsensä haittaohjelmia. Tämä tekee havaitsemisen erittäin vaikeaksi, koska kaikki turvatarkastukset on läpäistävä ytimen. Jos varsinainen ydin on vaarantunut, emme voi luottaa ydin lähettää tarkka ilmoitus suojaustietoja. Me loppuun asti ottaa sammuttaa järjestelmää, kiinnitä ajaa tiedetään olevan puhdas OS, ja suorittaa meidän rikosteknisen tarkistaa sieltä. Voi tietysti ongelma tässä prosessissa on, että se ei mittakaavassa hyvin. Jos meillä on kymmeniä tai satoja palvelimia, ei yksinkertaisesti ole tarpeeksi aikaa päivä tarkistaa ne kaikki oikein.

Kuten aiemmin mainittiin, VMware sallii nyt kolmansien osapuolien pääsy hypervisor API kautta VMSafe. Tämä mahdollistaa pääsyn etuoikeutettu tilatietoja, kuten muistin ja verkkoliikenteen, kustakin vieras OSs. Kytkemällä tulee hypervisor, joitakin erittäin viileä suojaustoimintoja tullut mahdolliseksi.

Esimerkiksi Sanotaan vieras OS hyökkää ytimen tason rootkit. Analysoimalla vieras muisti, rootkit voidaan havaita ulkopuolelta virtuaalinen käyttöjärjestelmä. Kun Suoritettuaan kautta hypervisor, on paljon vähemmän sattumaa, että rootkit voi varkain toiminnastaan ​​ja jäädä havaitsematta. Kuten aiemmin mainittiin, ei ole vastaavaa vaihtoehtoa ei-virtualisoidun järjestelmän.

API plug luo myös uusia mahdollisuuksia käsitellä salattua liikennettä. Kun päästä päähän salaus työskentelee (kuten VPN), verkko perustuu tarkastukset sovellustasolla helposti ohitetaan. Ainoa todellinen vaihtoehto oli juosta agentti ohjelmisto päätepiste, joten turvallisuus voitaisiin toteuttaa jälkeen salauksen purkaminen. Tietenkin ongelma tässä on, että jos aine on hyökätty, kaikki vedot ovat pois päältä. Jälleen kytkemällä osaksi hypervisor olemme paremmassa asemassa turvallisemmin tutkia näitä tietoja.

Olemme juuri aloittamassa nähdä uusia tuotteita, jotka hyödyntävät VMSafe API pistoke . Koska kaikki tuotteet ovat suhteellisen uusia, ei ole vielä päästy siitä, kuinka tehokkaasti ne voivat olla. Tuotteet ajaa Gambit korvaamasta isäntä palomuuri ja IDS suojaa täyteen käytäntöjen noudattamista. On mielenkiintoista nähdä, miten tämä tuote markkinarako ravistelee pois ensi vuoden aikana.

Yhteenveto

Joten kuten mainitsin alussa tätä viestiä, virtualisointi on kyky tehdä ympäristöön joko enemmän tai vähemmän turvallinen, riippuen siitä, miten käyttää sitä. Jos vain alkaa kaiken yksi laatikko, olet luultavasti menossa saada poikki. Jos laajentaa parhaita käytäntöjä, joita on kehitetty vuosien varrella virtualisoinnin maailmaan sekä hyödyntää joitakin uusia turvatekijöitä, jotka julkaistaan, voit itse luoda parempi yleinen turvallisuus ryhti.

Ei kommentteja »

Lähetetty 3-öh , Yleinen turvallisuus , virtualisointi

Tunnisteet: