Cortafuegos virtual

Cortafuegos de red que se ejecuta en un entorno virtualizado

Un firewall virtual ( VF ) es un servicio o dispositivo de firewall de red que se ejecuta completamente dentro de un entorno virtualizado y que proporciona el filtrado y la supervisión de paquetes habituales que se proporcionan a través de un firewall de red físico. El VF se puede implementar como un firewall de software tradicional en una máquina virtual invitada que ya se está ejecutando, un dispositivo de seguridad virtual diseñado específicamente para la seguridad de la red virtual , un conmutador virtual con capacidades de seguridad adicionales o un proceso de kernel administrado que se ejecuta dentro del hipervisor del host .

Fondo

Mientras una red informática funcione completamente sobre hardware y cableado físicos, se trata de una red física. Como tal, puede protegerse mediante cortafuegos físicos y muros cortafuegos por igual ; la primera y más importante protección para una red informática física siempre fue y sigue siendo una puerta física, cerrada y resistente al fuego. ^{[1] [2]} Desde el inicio de Internet, este fue el caso, y los muros cortafuegos estructurales y los cortafuegos de red fueron necesarios y suficientes durante mucho tiempo.

Desde aproximadamente 1998, se ha producido un aumento explosivo en el uso de máquinas virtuales (VM) además de —a veces en lugar de— máquinas físicas para ofrecer muchos tipos de servicios informáticos y de comunicaciones en redes de área local y en Internet en general. Las ventajas de las máquinas virtuales se han explorado en profundidad en otros lugares. ^{[3] [4]}

Las máquinas virtuales pueden funcionar de forma aislada (por ejemplo, como un sistema operativo invitado en una computadora personal) o en un entorno virtualizado unificado supervisado por un monitor de máquina virtual o un proceso de " hipervisor ". En el caso en que muchas máquinas virtuales funcionen en el mismo entorno virtualizado, podrían estar conectadas entre sí a través de una red virtual que consiste en conmutadores de red virtualizados entre máquinas e interfaces de red virtualizadas dentro de las máquinas. La red virtual resultante podría implementar protocolos de red tradicionales (por ejemplo, TCP ) o aprovisionamiento de red virtual como VLAN o VPN , aunque estos últimos, si bien son útiles por sus propias razones, no son necesarios de ninguna manera.

Existe una percepción continua de que las máquinas virtuales son inherentemente seguras porque se las considera como " en un espacio aislado " dentro del sistema operativo host. ^{[5] [6] [7]} A menudo se cree que el host, de la misma manera, está protegido contra la explotación de la propia máquina virtual ^[8] y que el host no es una amenaza para la máquina virtual porque es un activo físico protegido por la seguridad física y de red tradicional. ^[6] Incluso cuando esto no se asume explícitamente, las primeras pruebas de infraestructuras virtuales a menudo se realizan en entornos de laboratorio aislados donde la seguridad, por regla general, no es una preocupación inmediata, o la seguridad solo puede cobrar protagonismo cuando la misma solución se traslada a producción o a una nube informática , donde de repente máquinas virtuales de diferentes niveles de confianza pueden acabar en la misma red virtual que se ejecuta en cualquier número de hosts físicos.

Debido a que son redes reales, las redes virtuales pueden terminar sufriendo los mismos tipos de vulnerabilidades asociadas durante mucho tiempo con una red física, algunas de las cuales son:

• Los usuarios de las máquinas dentro de la red virtual tienen acceso a todas las demás máquinas en la misma red virtual.
• Poner en peligro o apropiarse indebidamente de una máquina virtual en una red virtual es suficiente para proporcionar una plataforma para ataques adicionales contra otras máquinas en el mismo segmento de red.
• Si una red virtual está interconectada con la red física o con Internet en general, las máquinas en la red virtual podrían tener acceso a recursos externos (y exploits externos) que podrían dejarlas expuestas a la explotación.
• El tráfico de red que pasa directamente entre máquinas sin pasar por dispositivos de seguridad no está supervisado.

Los problemas creados por la casi invisibilidad del tráfico entre máquinas virtuales (VM a VM) en una red virtual son exactamente iguales a los que se encuentran en las redes físicas, complicados por el hecho de que los paquetes pueden moverse completamente dentro del hardware de un único host físico:

• Dado que el tráfico de red virtual puede no salir nunca del hardware del host físico, los administradores de seguridad no pueden observar el tráfico de VM a VM, no pueden interceptarlo y, por lo tanto, no pueden saber para qué sirve ese tráfico.
• El registro de la actividad de la red de VM a VM dentro de un solo host y la verificación del acceso a la máquina virtual para fines de cumplimiento normativo se vuelve difícil.
• Los usos inadecuados de los recursos de la red virtual y el consumo de ancho de banda entre máquinas virtuales son difíciles de descubrir o corregir.
• Es posible que servicios inusuales o inapropiados que se ejecuten en la red virtual o dentro de ella pasen desapercibidos.

Existen problemas de seguridad que sólo se conocen en entornos virtualizados y que causan estragos en las medidas y prácticas de seguridad física, y algunos de ellos se promocionan como ventajas reales de la tecnología de máquinas virtuales sobre las máquinas físicas: ^[9]

• Las máquinas virtuales se pueden migrar deliberadamente (o inesperadamente) entre entornos virtualizados confiables y no confiables donde la migración está habilitada.
• Las máquinas virtuales y/o los volúmenes de almacenamiento virtual se pueden clonar fácilmente y hacer que el clon se ejecute en cualquier parte del entorno virtualizado, incluida una DMZ .
• Muchas empresas utilizan a sus departamentos de compras o de TI como agencia líder en seguridad informática, y aplican medidas de seguridad en el momento en que se saca una máquina física de la caja y se inicializa. Dado que cualquier usuario autorizado puede crear máquinas virtuales en unos minutos y ponerlas en funcionamiento sin dejar rastros en papel, en estos casos pueden eludir las prácticas de seguridad informática establecidas de "primer arranque".
• Las máquinas virtuales no tienen realidad física y no dejan rastro de su creación ni (en instalaciones virtualizadas de mayor tamaño) de su existencia continua. También se pueden destruir con la misma facilidad, sin dejar prácticamente ninguna firma digital ni evidencia física alguna.

Además de los problemas de visibilidad del tráfico de la red y la proliferación descoordinada de VM, una VM no autorizada que use solo la red virtual, los conmutadores y las interfaces (todos los cuales se ejecutan en un proceso en el hardware físico del host) puede potencialmente dañar la red como lo haría cualquier máquina física en una red física, y de las formas habituales, aunque ahora al consumir ciclos de CPU del host, también puede hacer caer todo el entorno virtualizado y todas las demás VM con él simplemente al sobrecargar los recursos físicos del host de los que depende el resto del entorno virtualizado.

Era probable que esto se convirtiera en un problema, pero dentro de la industria se lo percibía como un problema bien comprendido y potencialmente abierto a medidas y respuestas tradicionales. ^{[10] [11] [12] [13]}

Cortafuegos virtuales

Un método para proteger, registrar y supervisar el tráfico de VM a VM implicaba enrutar el tráfico de la red virtualizada fuera de la red virtual y hacia la red física a través de VLAN y, por lo tanto, hacia un firewall físico ya presente para brindar servicios de seguridad y cumplimiento para la red física. El tráfico de VLAN podría ser monitoreado y filtrado por el firewall físico y luego pasar de nuevo a la red virtual (si se considera legítimo para ese propósito) y a la máquina virtual de destino.

No es sorprendente que los administradores de LAN, los expertos en seguridad y los proveedores de seguridad de red comenzaran a preguntarse si no sería más eficiente mantener el tráfico completamente dentro del entorno virtualizado y protegerlo desde allí. ^{[14] [15] [16] [17]}

Un firewall virtual es un servicio o dispositivo de firewall que se ejecuta completamente dentro de un entorno virtualizado (incluso como otra máquina virtual, pero con la misma facilidad dentro del propio hipervisor) y proporciona el filtrado y la supervisión de paquetes habituales que proporciona un firewall físico. El VF se puede instalar como un firewall de software tradicional en una máquina virtual invitada que ya se ejecuta dentro del entorno virtualizado; o puede ser un dispositivo de seguridad virtual diseñado específicamente para la seguridad de la red virtual; o puede ser un conmutador virtual con capacidades de seguridad adicionales; o puede ser un proceso de kernel administrado que se ejecuta dentro del hipervisor host y que se encuentra por encima de toda la actividad de la máquina virtual.

La dirección actual en la tecnología de firewall virtual es una combinación de conmutadores virtuales con capacidad de seguridad ^[18] y dispositivos de seguridad virtuales. Algunos firewalls virtuales integran funciones de red adicionales, como VPN de sitio a sitio y de acceso remoto, QoS, filtrado de URL y más. ^{[19] [20] [21]}

Operación

Los firewalls virtuales pueden funcionar en diferentes modos para brindar servicios de seguridad, según el punto de implementación. Por lo general, son en modo puente o en modo hipervisor ^{[ dudoso – discutir ]} (basados ​​en hipervisor, residentes en hipervisor). Ambos pueden venir empaquetados como un dispositivo de seguridad virtual y pueden instalar una máquina virtual para fines de administración.

Un cortafuegos virtual que funciona en modo puente actúa como su análogo del mundo físico: se ubica en una parte estratégica de la infraestructura de red (normalmente en un conmutador o puente virtual entre redes) e intercepta el tráfico de red destinado a otros segmentos de red y que necesita pasar por el puente. Al examinar el origen de la fuente, el destino, el tipo de paquete que es e incluso la carga útil, el VF puede decidir si se debe permitir el paso del paquete, descartarlo, rechazarlo o reenviarlo o reflejarlo en otro dispositivo. Los primeros participantes en el campo de los cortafuegos virtuales eran en gran medida de modo puente, y muchas ofertas conservan esta característica.

Por el contrario, un cortafuegos virtual que funciona en modo hipervisor no forma parte de la red virtual en absoluto y, como tal, no tiene un dispositivo análogo en el mundo físico. Un cortafuegos virtual en modo hipervisor reside en el monitor de la máquina virtual o hipervisor , donde está bien posicionado para capturar la actividad de la máquina virtual, incluidas las inyecciones de paquetes. Se puede examinar toda la máquina virtual monitoreada y todo su hardware, software, servicios, memoria y almacenamiento virtuales, al igual que los cambios en estos ^{[ cita requerida ]} . Además, dado que un cortafuegos virtual basado en hipervisor no forma parte de la red propiamente dicha y no es una máquina virtual, su funcionalidad no se puede monitorear a su vez ni alterar por los usuarios y el software se limita a ejecutarse bajo una máquina virtual o tener acceso solo a la red virtualizada.

Los firewalls virtuales en modo puente se pueden instalar como cualquier otra máquina virtual en la infraestructura virtualizada. Dado que se trata de una máquina virtual en sí misma, la relación del firewall virtual con todas las demás máquinas virtuales puede complicarse con el tiempo debido a que las máquinas virtuales desaparecen y aparecen de forma aleatoria, migran entre diferentes hosts físicos u otros cambios no coordinados permitidos por la infraestructura virtualizada.

Los firewalls virtuales en modo hipervisor requieren una modificación del núcleo del hipervisor del host físico para instalar módulos o ganchos de proceso que permitan al sistema de firewall virtual acceder a la información de la máquina virtual y acceder directamente a los conmutadores de red virtuales y a las interfaces de red virtualizadas que mueven el tráfico de paquetes entre las máquinas virtuales o entre las máquinas virtuales y la puerta de enlace de red. El firewall virtual residente en el hipervisor puede utilizar los mismos ganchos para realizar todas las funciones habituales del firewall, como la inspección, el descarte y el reenvío de paquetes, pero sin tocar realmente la red virtual en ningún momento. Los firewalls virtuales en modo hipervisor pueden ser mucho más rápidos que la misma tecnología que se ejecuta en modo puente porque no realizan la inspección de paquetes en una máquina virtual, sino desde dentro del núcleo a velocidades de hardware nativas.

Véase también

• Dispositivo de seguridad virtual
• Virtualización de funciones de red

Referencias

1. "La seguridad de la red física es clave para combatir las amenazas de baja tecnología" Morisey, Michael. SearchNetworking.com, febrero de 2009.
2. "Seguridad de redes físicas" Rodríguez, Erik. Skullbox.com, mayo de 2005.
3. "Los pros y contras de las máquinas virtuales en el centro de datos" Chao, Wellie, DevX.com, enero de 2006
4. "Transforme su negocio con la virtualización", Conceptos básicos de virtualización de VMware
5. "¿Una sandbox o una máquina virtual ayudan a proteger tu privacidad?" Notenboom, Leo. Octubre de 2008
6. "Niveles de amenaza a la seguridad de las máquinas virtuales; no crea en las exageraciones" Botelho, Bridget. IT Knowledge Exchange. Noviembre de 2008
7. "Meditaciones sobre un mundo virtualmente seguro" Korelc, Justin y Ed Tittel. SearchEnterpriseLinux.com, abril de 2006
8. "Core Security Technologies descubre una vulnerabilidad crítica en el software de virtualización de escritorios de VMware" Core Security Technologies, febrero de 2008
9. "Una encuesta sobre seguridad de máquinas virtuales" Archivado el 20 de febrero de 2012 en Wayback Machine Reuben, JS. Universidad Tecnológica de Helsinki, sin fecha
10. "Auditoría de TI para el entorno virtual" SANS.org, diciembre de 2009
11. "Virtualización POWER5: Cómo trabajar con VLAN mediante IBM Virtual I/O Server" IBM Inc. Noviembre de 2008
12. "Redes virtuales seguras" Wettern, Joern. Redmondmag.com febrero de 2009
13. "Por qué las redes virtuales Hyper-V son menos seguras que las redes físicas" Shields, Greg. TechTarget SearchNetworking, octubre de 2009
14. "Consideraciones de seguridad para entornos virtuales" Rosenberg, David. Cnet News, noviembre de 2009
15. "La gestión de acceso basada en software protege redes mixtas de máquinas físicas y virtuales sin conjuntos de reglas complejos ni altos costos de TI" Apani Inc. Agosto de 2008
16. "Alojamiento virtualizado seguro" Altor Networks Inc.
17. "Mejores prácticas para proteger redes virtuales" Moore, Hezi. Marzo de 2008 vmblog.com
18. Introducción al Nexus 1000V. Cisco Inc.
19. "Las API de VMsafe tranquilizan a los profesionales de seguridad informática cautelosos" Lukkad, VJ. Blog de gestión de acceso e identidad. Agosto de 2009
20. "¿Debería tener un firewall para mi mundo virtual?" VMInformer.
21. Estudio de caso: Winsert Inc.

Lectura adicional

• "El robot Zeus aparece en la nube de EC2, se detecta y se descarta" Babcock, Charles. InformationWeek , diciembre de 2009
• "¡40.000 cortafuegos! ¡Ayuda, por favor!" Texiwill. The Virtualization Practice . Septiembre de 2009
• "OPINIÓN / ¿Por qué necesitamos seguridad virtual?" Ben-Efraim, Amir. Government Security News . Agosto de 2009
• "Mantenga seguras sus redes virtuales" Revista Zillion , julio de 2009
• "El punto ciego virtual" Schultz, Beth. NetworkWorld . Julio de 2010
• "Seguridad en la nube en el mundo real: 4 ejemplos" Brandel, Mary. CSO: Security & Risk . Junio ​​de 2010
• "Protección de entornos mixtos: no todos estarán virtualizados" Ogren, Eric. ComputerWorld . Junio ​​de 2010
• "Nuevas herramientas de seguridad protegen las máquinas virtuales" Strom, David. Network World, marzo de 2011