Виртуальный переключатель безопасности

Для проверки этой статьи нужны дополнительные цитаты . Помогите улучшить эту статью , добавив ссылки на надежные источники . Неподтвержденные материалы могут быть оспорены и удалены. Найти источники:  «Виртуальный переключатель безопасности» – новости  · газеты  · книги  · ученый  · JSTOR ( июль 2016 г. ) ( Узнайте, как и когда удалять это сообщение )

Виртуальный коммутатор безопасности — это программный коммутатор Ethernet со встроенными элементами управления безопасностью, который работает в виртуальных средах , таких как VMware vSphere , Citrix XenDesktop , Microsoft Hyper-V и Virtual Iron . Основной целью виртуального коммутатора безопасности является обеспечение мер безопасности, таких как изоляция, контроль и проверка содержимого между виртуальными машинами .

Виртуальные машины в корпоративных серверных средах начали набирать популярность в 2005 году и быстро стали стандартом в способе, которым компании развертывают серверы и приложения . Для развертывания этих серверов в виртуальной среде требовалось сформировать виртуальную сеть . В результате такие компании, как VMware, создали ресурс, называемый виртуальным коммутатором . Целью виртуального коммутатора было обеспечение сетевого подключения в виртуальной среде, чтобы виртуальные машины и приложения могли взаимодействовать как внутри виртуальной сети, так и с физической сетью.

Эта концепция виртуальной сети привела к ряду проблем, связанных с безопасностью в виртуальной среде, поскольку в среде присутствовала только технология виртуальной коммутации, а не технологии безопасности. В отличие от физических сетей, в которых есть коммутаторы со списками управления доступом (ACL), брандмауэры , антивирусные шлюзы или устройства предотвращения вторжений , виртуальная сеть была широко открыта. Концепция виртуального коммутатора безопасности — это концепция, в которой коммутация и безопасность объединили свои усилия, так что элементы управления безопасностью можно было разместить в виртуальном коммутаторе и обеспечить проверку и изоляцию каждого порта в виртуальной среде. Эта концепция позволила безопасности максимально приблизиться к конечным точкам, которые она намеревалась защищать, без необходимости находиться на самих конечных точках (основанных на хостах виртуальных машин).

Устраняя необходимость развертывания решений безопасности на основе хоста на виртуальных машинах, можно достичь значительного повышения производительности при развертывании безопасности в виртуальной среде. Это происходит потому, что виртуальные машины совместно используют вычислительные ресурсы (например, процессорное время, память или дисковое пространство ), в то время как физические серверы имеют выделенные ресурсы. Один из способов понять это — представить себе 20 виртуальных машин, работающих на двухпроцессорном сервере, и каждый виртуальный сервер имеет свой собственный брандмауэр на основе хоста, работающий на них. Это составило бы 20 брандмауэров, использующих те же ресурсы, что и 20 виртуальных машин. Это противоречит цели виртуализации, которая заключается в применении этих ресурсов к виртуальным серверам, а не к приложениям безопасности. Развертывание безопасности централизованно в виртуальной среде в некотором смысле является одним брандмауэром против 20 брандмауэров.

Поскольку коммутаторы являются устройствами уровня 2 , которые создают единый широковещательный домен, виртуальные коммутаторы безопасности сами по себе не могут полностью воспроизвести сегментацию сети и изоляцию, обычно применяемые в многоуровневой физической сети. Чтобы устранить это ограничение, ряд поставщиков сетевых технологий, безопасности и виртуализации начали предлагать виртуальные брандмауэры , виртуальные маршрутизаторы и другие сетевые устройства, позволяющие виртуальным сетям предлагать более надежные решения для безопасности и организации сети.

Поскольку виртуальные машины по сути являются операционными системами и приложениями, упакованными в один файл (называемый образами дисков ), они теперь стали более мобильными. Впервые в истории серверы можно перемещать, обменивать и совместно использовать так же, как файлы MP3, совместно используемые в одноранговых сетях . Теперь администраторы могут загружать предварительно установленные виртуальные серверы через Интернет, чтобы ускорить время развертывания новых серверов. Администратору больше не нужно проходить длительный процесс установки программного обеспечения, поскольку эти образы виртуальных дисков имеют предварительно установленные операционные системы и приложения. Они являются виртуальными устройствами .

Эта мобильность образов сервера теперь создала потенциальную проблему, что целые серверы могут быть заражены и переданы в дикой природе. Представьте себе, что вы загружаете последнюю версию Fedora Linux Server с веб-сайта вроде ThoughtPolice.co.uk, устанавливаете ее и позже узнаете, что на этом сервере был троянский конь , который позже вывел из строя вашу виртуальную сеть. Это может быть катастрофой.

Хотя теперь при загрузке образов виртуальных серверов необходимо учитывать фактор доверия,

Концепция виртуального коммутатора безопасности — это концепция, которая отслеживает ваше решение о доверии, обеспечивая изоляцию и мониторинг безопасности между виртуальными машинами. Виртуальный коммутатор безопасности может изолировать виртуальные машины друг от друга, ограничивать разрешенные типы связи между ними, а также отслеживать распространение вредоносного контента или атаки типа «отказ в обслуживании».

Reflex Security представила первый в отрасли 10-гигабитный сетевой коммутатор безопасности, который имел плотность портов для поддержки 80 физических серверов, подключенных к нему. ^[1] В 2008 году Vyatta начала поставлять сетевую операционную систему с открытым исходным кодом , разработанную для предоставления услуг уровня 3, таких как маршрутизация, брандмауэр, трансляция сетевых адресов (NAT), динамическая конфигурация хоста и виртуальная частная сеть (VPN) внутри и между гипервизорами . С тех пор VMware , Cisco , Juniper и другие поставляли продукты безопасности виртуальных сетей ^{[ какие? ]} , которые включают коммутацию и маршрутизацию уровня 2 и уровня 3.

• Handy, Alex (21 мая 2012 г.). «Виртуализация: теперь не только для машин». SD Times . BZ Media.
• «Сделаем наши продукты более безопасными». vmware.com . VMWare . Получено 6 июля 2016 г. .
• Грин, Тим (8 января 2008 г.). «Возможности, которых не хватает в защите виртуального сервера брандмауэра». Network World . IDG .