לקראת אירוע | ג'וניפר מציגה פתרון אבטחה משולב לחוות השרתים הווירטואלית ושירותי ענן
מאת אבירם זרחיה, מהנדס מערכות אבטחת מידע בכיר בג'וניפר נטוורקס ישראל
כידוע, יישום וירטואליזציה בחוות השרתים הארגונית או כחלק משירותי מחשוב ענן, מוביל לחיסכון משמעותי בעלויות לארגונים על ידי צמצום התשומות להפעלת מרכזי הנתונים, ועל ידי ייעול וניהול של מספר גדל והולך של שרתים. לפיכך אנחנו עדים לאימוץ של פתרונות וירטואליזציה בקצב מהיר, כאשר אתגר האבטחה הופך להיות משמעותי ככל שמספר השרתים ורגישות המידע עולה. יישום פתרונות אבטחה פיזיים ברשת אינו יעיל מכיוון שהוא "עיוור" לתנועה בין מכונות וירטואליות אשר אינן עומדות בנתיב הנתונים, וכתוצאה מכך, פתרונות בעולם הפיזי לא יכולים לאכוף את ההגנות ולשמור על מדיניות האבטחה של הארגון.
מה שהופך את האתגר האבטחתי בעולם הוירטואליזציה לחריף עוד יותר הוא האופי הדינאמי של מכונות וירטואליות. VMware, למשל, מספקת תכונות כמו VMotion ו-DRS (ר"ת Distributed Resource Scheduling), המאפשרים מעבר דינמי של מכונות וירטואליים בין התקני חומרה שונים (ESX Host), לצרכי ביצועים ו/או שרידות. בנוסף מתאפשרת באופן מהיר וקל הקצאת מחשבים וירטואליים מתוך Templates או באמצעות שיבוט ע"י כל עובד מחלקת ה-IT ומרחב הטעות ביצירת חשיפת אבטחה הוא גדול.
פתרון ה-Virtual Gateway (או בקיצור: vGW) שמציגה ג'וניפר להתמודדות עם האתגרים שצויינו, הוא טכנולוגיה המבוססת על מנוע אכיפה המותקן ברמת ה-Hypervisor (ליבת ה-ESX Host) ומבצע פונקציות אבטחה שונות, כולל תיעוד התעבורה ואכיפת מדיניות (חוקה). vGW ממומשק באופן מלא לרכיב הניהול של vCenter VMware כך שכל שינוי המתרחש במכונה הוירטואלית מסונכרן מיידית למוצר ה-vGW ומשפיע על החוקה המופעלת בצורה דינמית. את שירותי האבטחה בפתרון ה-vGW ניתן להפעיל באופן פרטני על כל מכונה וירטואלית (VM) לפי דרישות מנהל ה-IT, והם כוללים Firewall בין המכונות הוירטואליות, אנטי וירוס, ו-IDS (ר"ת Intrusion Detection System). בנוסף ניתן גם לייצר סטטיסטיקות תעבורה (flow) על כל המידע העובר בין המכונות הורטואליות לבין עצמן (בין VM אחד לשני) כדי לקבל שקיפות של נפח התעבורה בחלוקה לפרוטוקולים, אפליקציות ו-Top Talkers.
אכיפת מדיניות אבטחה אחידה בתוך חוות שרתים ועננים וירטואליים, מתאפשרת תוך שילוב הדוק של פתרון ה-vGW עם סדרת מוצרי ה-SRX המספקת אבטחה בעולם הרשת הפיזי (in-line) בקצבים גבוהים. השילוב מתאפשר תודות לשיתופי מידע בין המערכת הפיזית למערכת הוירטואלית כך שמנהל ה-IT קובע מדיניות אחת וזו נאכפת על השרתים בין אם הם וירטואלייים או פיזיים. בנוסף ישנו שילוב המשביח את הפתרון בין מערכת ה-vGW לסידרת המערכות למניעת חדירות (IPS) של ג'וניפר, וכן למערכת ניהול איומי האבטחה STRM.