Вибір брандмауера для захисту віртуальних машин від мережевих погроз - не така проста задача, оскільки звичні рішення можуть не спрацювати. А потенційний збиток від компрометації навіть однієї ВМ може виявитися досить серйозним. Всього одна скомпрометована віртуальна машина може привести до компрометації всіх машин віртуальної інфраструктури, атакувавши спочатку віртуальні машини "свого" сервера віртуалізації, а потім, в результаті переміщення в процесі vMotion, і віртуальні машини інших серверів віртуалізації.
Як же забезпечити захист віртуальних машин від мережевих погроз відповідно до вимог законодавства та з урахуванням специфіки середовища віртуалізації?
У чому складність?
Очевидно, що апаратні міжмережеві екрани незастосовні у віртуальному середовищі, і це відразу кілька звужує список доступних рішень.
Міжмережеві екрани неефективні, якщо мережевий трафік через них не проходить. Мережевий трафік усередині сервера віртуалізації, на якому можуть виконуватися кілька взаємодіючих між собою по мережі гостьових машин, не покидає його. Це робить можливими атаки на віртуальні машини з боку інших віртуальних машин в рамках одного сервера віртуалізації.
Який варіант віддати перевагу?
Virtual Appliance і VMsafe
Кілька років тому компанія VMware анонсувала технологію VMsafe, суть якої полягає в тому, щоб залучити лідерів ринку ІБ до розробки засобів захисту, сумісних з її платформою віртуалізації. Для цього компанія VMware надає стороннім розробникам набір інтерфейсів API для розробки засобів захисту у вигляді Virtual Appliance.
Virtual Appliance (віртуальний модуль) дозволяє поширювати ПО в віртуальних машинах, готових до розгортання в інфраструктурі клієнта.
Віртуальний міжмережевий екран, побудований з використанням технологій Virtual Appliance і VMsafe, має масу достоїнств. Однак, слабка присутність подібних рішень на ринку сертифікованих СЗІ, а часом і повна їх відсутність, може стати серйозною перешкодою на шляху їх використання.
У той час як традиційні рішення вже мають добре продумані механізми захисту і зручне управління, рішення на базі нових технологій можуть мати серйозні недоліки. Крім того, якщо в компанії вже використовуються сертифіковані рішення для захисту ПДН, конфіденційної інформації або держтаємниці, навіщо відмовлятися від них при перенесенні інформаційних систем у віртуальне середовище? Навіщо витрачати кошти на придбання, вивчення і впровадження додаткових рішень?
Традиційні міжмережеві екрани
При розгляді цього варіанту можливі два підходи: винос мережевого трафіку на зовнішні пристрої і міжмережеві екрани, здатні працювати на віртуальних машинах.
У першому випадку весь мережевий трафік віртуальних машин направляється в фізичну систему, спеціально створену для цієї мети, а після обробки відправляється назад в віртуальну мережу. Очевидно, що це веде до надмірності використовуваних мережевих інтерфейсів і обмеження продуктивності віртуальних машин пропускною спроможністю мережі.
У другому випадку міжмережевий екран встановлюється безпосередньо на віртуальну машину. Треба сказати, що сертифікованих міжмережевих екранів, здатних працювати як у фізичній, так і у віртуальному середовищі, а також забезпечити захист персональних даних або конфіденційної інформації відповідно до вимог законодавства, не так вже й багато.
Одним з таких небагатьох рішень є розподілений міжмережевий екран з централізованим управлінням TrustAccess розробки компанії "Код Безпеки".
У чому складність?Який варіант віддати перевагу?
Як же забезпечити захист віртуальних машин від мережевих погроз відповідно до вимог законодавства та з урахуванням специфіки середовища віртуалізації?
У чому складність?
Який варіант віддати перевагу?
Навіщо витрачати кошти на придбання, вивчення і впровадження додаткових рішень?