Sanal güvenlik cihazı - Virtual security appliance

Bir sanal güvenlik cihazı bir bilgisayar cihazı o içeride koşuyor sanal ortamlar. Sertleştirilmiş bir işletim sistemi ve bir güvenlik uygulaması ile önceden paketlendiği ve sanallaştırılmış bir donanım üzerinde çalıştığı için cihaz olarak adlandırılır. Donanım, aşağıdakiler gibi şirketler tarafından sağlanan hiper yönetici teknolojisi kullanılarak sanallaştırılır. VMware, Citrix ve Microsoft. Güvenlik uygulaması, belirli ağ güvenliği satıcısına bağlı olarak değişebilir. Reflex Systems gibi bazı satıcılar, İzinsiz Giriş Önleme teknolojisini bir Sanallaştırılmış Araç olarak veya Blue Lane tarafından sağlanan çok işlevli bir sunucu güvenlik açığı kalkanı olarak sunmayı seçmişlerdir. Güvenlik teknolojisinin türü, bir Sanal Güvenlik Aracı'nın tanımı söz konusu olduğunda ilgisizdir ve bir sanal güvenlik aracı olarak çeşitli güvenlik türlerini dağıtırken elde edilen performans seviyeleri söz konusu olduğunda daha önemlidir. Diğer sorunlar, hiper yönetici ve içeride çalışan sanal ağın görünürlüğünü içerir.

Güvenlik cihazı geçmişi

Geleneksel olarak, güvenlik araçları, özel donanım yaklaşımı sayesinde daha yüksek performans seviyelerine izin veren özel ASIC yongalarına sahip olabilecek yüksek performanslı ürünler olarak görülmüştür. Pek çok satıcı, IBM, Dell ve offshore markaları "cihazlar" gibi özel sunucu donanımlarında özel uygulamalarla önceden oluşturulmuş işletim sistemlerini aramaya başladı. Cihaz terminolojisi, yoğun bir şekilde kullanılmasına rağmen, orijinal köklerinden sapmıştır. Bir yönetici, herhangi bir destekleyici Linux işletim sisteminin monolitik bir çekirdek kullandığını görmeyi bekler, çünkü donanım platformu muhtemelen statiktir ve satıcı tarafından kontrol edilir. Ancak, aşağıdaki örnekler, ürün yöneticileri tarafından kullanılan temel donanım platformlarının dinamik doğasını yansıtan yüklenebilir çekirdek modüllerini kullanacak şekilde yapılandırılmıştır. "Aletler", değişen derecelerde idari açıklığa sahiptir. Enterasys Dragon versiyon 7 IPS sensörleri (GE250 ve GE500), hafif sertleştirilmiş versiyonudur. Slackware Linux yönetim güvenlik açıkları ile eksiksiz dağıtım ve temel işletim sisteminin tercih edilen yönetim yöntemi anonim kök erişimi ile nakliye. Motorola AirDefense yönetim konsolları, desteklenen kök erişimi olmayan bir "cihaz" olarak gönderilir. Yönetimsel kurulum görevleri, ayrıcalıklı olmayan bir kullanıcı olarak çalışan metinsel menüler aracılığıyla gerçekleştirilir. Websense DSS sensör cihazları kullanır CentOS 5.2 altında ve ayrıca kurulum sırasında kök erişimine izin verin. McAfee daha yaşlı e-Politika Orkestratörü dağıtımlar RedHat 7 tabanlı bir dağıtım kullanır, ancak tipik işletim sistemi yapılandırma dosyalarında yapılan değişiklikler yeniden başlatıldığında sıfırlanır. Bu cihazların çoğu birincil yapılandırması web arayüzleri aracılığıyladır. Aygıtlar için yamaların gerekli olmadığı iması, satıcıların aygıtları tamamen yeniden görüntülemeden hızlı modüler yamalar sağlamaya daha az yatkın olacağı anlamından daha az doğrudur. Gibi şirketler NetScreen Teknolojiler ve TippingPoint özel donanıma sahip olarak tanımlanmış güvenlik araçları ASIC sırasıyla yüksek performanslı Güvenlik Duvarı ve İzinsiz Giriş Önleme teknolojisi sunmak için içlerinde çipler. Bu şirketler, 2000–2004 döneminin başlarında kendi özel pazarlarını tanımladılar.

Terimin modern gün kullanımı

Bu süre zarfında güvenlik cihazları yalnızca özel ASIC yongalarına ve özel donanıma sahip olmakla kalmayıp, aynı zamanda sağlamlaştırılmış işletim sistemlerinde teslim edildi ve önceden yüklenmiş güvenlik uygulamalarına sahipti. Bu özellik, performansın yanı sıra kurulum kolaylığı da sağladı ve sonuç olarak, yazılım satıcıları önceden yüklenmiş güvenlik uygulamalarını genel amaçlı donanımlara "Güvenlik Araçları" olarak adlandırmaya başladı. Bu model o kadar çekici hale geldi ki, sadece yazılım satıcıları Stonesoft veya CheckPoint Yazılımı Mevcut müşteri donanımına ve müşteri işletim sistemlerine yüklenmesi gereken uzun bir yazılım satma geçmişinin ardından önceden oluşturulmuş işletim sistemlerini güvenlik uygulamaları ile birlikte sunmaya başladı. Donanımı sanallaştırma ve çoklu oluşturma yeteneğini getiren sanallaştırma teknolojisinin patlamasıyla yazılım bilgisayar örneklerinde, güvenlik satıcıları tarafından güvenlik araçlarını yerleştirmek için yeni bir yöntemin ufukta göründüğü 2005 yılında ortaya çıktı. Tarihte ilk kez bir satıcı, özel bir donanım aygıtını eşleştirmeye gerek kalmadan dağıtım kolaylığı vaat eden önceden yüklenmiş bir güvenlik uygulamasıyla sağlamlaştırılmış bir işletim sistemi sunabilirdi.

Meydan okuma

Tüm yeni teknolojilerle değiş tokuşlar gelir ve sanal güvenlik araçları söz konusu olduğunda takas, çoğu kez performans kısıtlamalarıdır. Geçmişte, Tipping Point gibi şirketler, bir cihaz form faktöründe İzinsiz Giriş Önleme teknolojisi sağladılar ve uygulamaya özel entegrasyon devrelerini [ASIC] ve özel donanım veriyolu kartlarında bulunan sahada programlanabilir geçit dizilerini [FPGA] kullanarak en yüksek performans seviyelerini sağladılar. Günümüzde, izinsiz girişi önleme, güvenlik duvarı ve diğer uygulama katmanı teknolojilerini sanallaştıran Reflex Security ve Blue Lane gibi şirketler. Sanallaştırılmış dünyada, işletim sistemlerinde çalışan uygulamalar aynı donanım bilgi işlem kaynakları için rekabet ettikleri için, bu hedefler optimum performans seviyelerini sağlamakla zorlanmaktadır. Fiziksel cihaz dünyasında, bu kaynaklar adanmıştır ve kaynakları bekleyen engelleme durumundan zarar görme olasılıkları daha düşüktür.

Bazı güvenlik uygulamaları daha az dinamik durum sağlar. Güvenlik duvarı teknolojileri genellikle TCP ve UDP başlıkları gibi daha küçük miktarlarda verileri inceler ve genellikle daha az durumu korur. Bu nedenle, basit IP güvenlik duvarı teknolojilerinin sanallaştırma için aday olma olasılığı daha yüksektir. Pek çok izinsiz giriş önleme teknolojisi, yükte derinlemesine incelemeye olanak tanıyan ve bazen oturum akışlarını izleyen imzalar ve dinamik yapılandırmalar kullanır. İzinsiz girişi önleme ayrıca tipik olarak ağır durumda tutma ve bakım gerektirir ve bellekteki dinamik verileri yoğun bir şekilde kullanır. Çoğunlukla yüksek düzeyde dinamik veri bellek bölümleri, kod bölümlerinden daha dinamik olduklarından tekilleştirilemezler. Paylaşılan kaynaklara daha sık ihtiyaç duyulduğundan, bu özellikle veri birimlerini ileten sistemler için gecikme ekleyebilen kaynak çekişmesine yol açar. Blue Lane'in uygulama katmanı uygulaması gibi teknolojiler daha az etkilenir çünkü daha az trafiği inceler: masum trafiğin geçmesine izin verirken bilinen güvenlik açıklarına giden.

Performans zorluklarının bir başka nedeni de, IPS teknolojilerinin dinamik imzaların denetim uygulamalarının, çekirdek yeniden yüklemelerinden veya sistem yeniden başlatmalarından kaynaklanan kesintileri önlemek için kullanıcı işlemlerini işletim sistemi çekirdeği dışında çalıştırması gerektiğidir. Kullanıcı süreçleri, yöneten işletim sistemlerinin bellek ve süreç yönetimi politikalarından ayrılmaları nedeniyle genellikle daha yüksek ek yükten muzdariptir. Güvenlik duvarı teknolojileri geleneksel olarak işletim sistemi çekirdeğinin bir parçası olarak çalışır. İşletim sistemi iç parçalarıyla sıkı bağlantı nedeniyle performans endişeleri azalır.

Bu sınırlamaların üstesinden gelmek için, ASIC'ler ve Çok Çekirdekli işlemciler geleneksel olarak IPS uygulamalarıyla birlikte kullanılmıştır. Bu lüks sanallaştırılmış ortamlarda mevcut değildir, çünkü sanallaştırma teknolojileri tipik olarak temeldeki uygulamaya özel donanıma doğrudan donanım erişimine izin vermez. Sanallaştırma, aksi takdirde adanmış barındırma donanımında yeterince kullanılmayacak olan genel amaçlı uygulamalar için çok uygundur. Şifreleme için normalden daha fazla bilgi işlem döngüsü veya durum bakımı için bellek kullanarak belirli donanım kaybını aşırı telafi etmek, sunucu sanallaştırma amacını ortadan kaldırır.

Sanal güvenlik araçlarına örnekler

daha fazla okuma

Ayrıca bakınız