Un conmutador de seguridad virtual es un conmutador Ethernet de software con controles de seguridad integrados que se ejecuta en entornos virtuales como VMware vSphere , Citrix XenDesktop , Microsoft Hyper-V y Virtual Iron . El propósito principal de un conmutador de seguridad virtual es proporcionar medidas de seguridad como aislamiento, control e inspección de contenido entre máquinas virtuales .
Las máquinas virtuales en entornos de servidores empresariales comenzaron a ganar popularidad en 2005 y rápidamente comenzaron a convertirse en un estándar en la forma en que las empresas implementan servidores y aplicaciones . Para implementar estos servidores dentro de un entorno virtual, se necesitaba formar una red virtual . Como resultado, empresas como VMware crearon un recurso llamado conmutador virtual . El propósito del conmutador virtual era proporcionar conectividad de red dentro del entorno virtual para que las máquinas virtuales y las aplicaciones pudieran comunicarse tanto dentro de la red virtual como con la red física.
Este concepto de red virtual introdujo una serie de problemas, ya que se relacionaba con la seguridad dentro del entorno virtual, debido a que solo tenía tecnología de conmutación virtual dentro del entorno y no tecnologías de seguridad. A diferencia de las redes físicas que tienen conmutadores con listas de control de acceso (ACL), firewalls , puertas de enlace antivirus o dispositivos de prevención de intrusiones , la red virtual estaba completamente abierta. El concepto de conmutador de seguridad virtual es aquel en el que la conmutación y la seguridad se han unido, de modo que los controles de seguridad podrían colocarse dentro del conmutador virtual y proporcionar inspección y aislamiento por puerto dentro del entorno virtual. Este concepto permitió que la seguridad se acercara lo más posible a los puntos finales que pretende proteger, sin tener que residir en los puntos finales (basados en host en máquinas virtuales) ellos mismos.
Al eliminar la necesidad de implementar soluciones de seguridad basadas en host en máquinas virtuales, se puede lograr una mejora significativa del rendimiento al implementar la seguridad en el entorno virtual. Esto se debe a que las máquinas virtuales comparten recursos informáticos (por ejemplo , tiempo de CPU , memoria o espacio en disco ) mientras que los servidores físicos tienen recursos dedicados. Una forma de entender esto es imaginarse 20 máquinas virtuales ejecutándose en un servidor de CPU dual y cada servidor virtual con su propio firewall basado en host ejecutándose en ellas. Esto conformaría 20 firewalls usando los mismos recursos que usan las 20 máquinas virtuales. Esto frustra el propósito de la virtualización, que es aplicar esos recursos a servidores virtuales, no a aplicaciones de seguridad. La implementación de la seguridad de manera centralizada dentro del entorno virtual es, en cierto sentido, un firewall frente a 20 firewalls.
Limitaciones
Dado que los conmutadores son dispositivos de capa 2 que crean un único dominio de difusión, los conmutadores de seguridad virtual por sí solos no pueden replicar por completo la segmentación y el aislamiento de la red que normalmente se emplean en una red física de varios niveles. Para abordar esta limitación, varios proveedores de redes, seguridad y virtualización han comenzado a ofrecer firewalls virtuales, enrutadores virtuales y otros dispositivos de red para permitir que las redes virtuales ofrezcan soluciones de organización de redes y seguridad más sólidas.
Ejemplo de problema
Debido a que las máquinas virtuales son esencialmente sistemas operativos y aplicaciones empaquetadas en un solo archivo (llamadas imágenes de disco ), ahora se han vuelto más móviles. Por primera vez en la historia, los servidores se pueden mover, intercambiar y compartir como archivos MP3 compartidos en las redes peer-to-peer . Los administradores ahora pueden descargar servidores virtuales preinstalados a través de Internet para acelerar el tiempo de implementación de nuevos servidores. Ya no es necesario que un administrador pase por el largo proceso de instalación del software, porque estas imágenes de disco virtual tienen sistemas operativos y aplicaciones preinstalados. Son dispositivos virtuales .
Esta movilidad de las imágenes del servidor ahora ha creado el problema potencial de que servidores enteros pueden infectarse y transmitirse en la naturaleza. Imagine descargar el último servidor Fedora Linux de un sitio web como ThoughtPolice.co.uk, instalarlo y luego enterarse de que había un caballo de Troya en ese servidor que más tarde derribó su red virtual. Esto podría resultar catastrófico.
Si bien existe el factor de confianza que ahora debe tenerse en cuenta al descargar imágenes de servidor virtual,
El concepto de conmutador de seguridad virtual supervisa su decisión de confianza proporcionando aislamiento y supervisión de seguridad entre máquinas virtuales. Un conmutador de seguridad virtual puede aislar las máquinas virtuales entre sí, restringir los tipos de comunicación permitidos entre sí y controlar la propagación de contenido malicioso o ataques de denegación de servicio.
Historia
Reflex Security introdujo el primer conmutador de seguridad de red de 10 gigabits de la industria que tenía una densidad de puertos para admitir 80 servidores físicos conectados a él. [1] En 2008, Vyatta comenzó a enviar un sistema operativo de red de código abierto diseñado para ofrecer servicios de capa 3 como enrutamiento, firewall, traducción de direcciones de red (NAT), configuración dinámica de host y red privada virtual (VPN) dentro y entre hipervisores . Desde entonces, VMware , Cisco , Juniper y otros han enviado productos de seguridad de redes virtuales [ ¿cuál? ] que incorporan conmutación y enrutamiento de capa 2 y capa 3.
Referencias
- ^ "Sistema de seguridad de red Reflex MG10" (PDF) . Seguridad refleja. Julio de 2007.
Otras lecturas
- Handy, Alex (21 de mayo de 2012). "Virtualización: ya no solo para máquinas" . Tiempos SD . BZ Media.
- "Hacer nuestros productos más seguros" . vmware.com . VMWare . Consultado el 6 de julio de 2016 .
- Greene, Tim (8 de enero de 2008). "Opciones que faltan en la protección del servidor virtual de firewall" . Mundo de la red . IDG .