امنیت با VMsafe
امنیت در مجازی سازی سرورها و کلاینت ها بسیار رونق گرفته است . پارتیشن بندی ماشین های مجازی تحت وی ام ور ، از نقطه نظر استفاده از منابع سیستم مانند حافظه، پردازنده، دیسک، و غیره، به خوبی توسط هایپروایزر مدیریت می گردد و هایپروایزر سطح خوبی از امنیت را برای ماشین مجازی فراهم می کند. حال سوال این است که در حفاظت از ماشین های مجازی مدیریت جریان داده بین ماشین های مجازی و حفاظت از آنها چگونه است ؟
در محیط های کامپیوتری عموماً Application ها برروی سیستم عامل اجرا می شوند این امر می تواند برای امنیت مشکل ساز باشد . هر روزه تعداد بیشماری exploit در این گونه از محیط ها اجرا می شوند . نرم افزارهای امنیتی خواه برروی سیستم عامل اجرا شوند خواه به عنوان دستگاهی مجزا عمل کنند سیستمی مبتنی بر شبکه هستند و در مقابل بسیاری از کدهای مخرب آسیب پذیرند که این امر باعث نفوذ کدهای مخرب به سیستم می گردد . کدهای مخرب خود را در قالب بسته های مجاز جا زده و از طریق یک نقطه ی آسیب پذیر وارد سیستم می گردند
در محیط های کامپیوتری عموماً Application ها برروی سیستم عامل اجرا
می شوند این امر می تواند برای امنیت مشکل ساز باشد . هر روزه تعداد بیشماری exploit در این گونه از محیط ها اجرا می شوند . نرم افزارهای امنیتی خواه برروی سیستم عامل اجرا شوند خواه به عنوان دستگاهی مجزا عمل کنند سیستمی مبتنی بر شبکه هستند و در مقابل بسیاری از کدهای مخرب آسیب پذیرند که این امر باعث نفوذ کدهای مخرب به سیستم می گردد . کدهای مخرب خود را در قالب بسته های مجاز جا زده و از طریق یک نقطه ی آسیب پذیر وارد سیستم می گردند .
استفاده کد مخرب از آسیب پذیری های موجود
در حال حاضر شرکتهای امنیتی بزرگی مانند trend micro ، McAfee ، Altor Network ، IBM، Checkpoint، Reflex وارد بازار مجازی سازی شده اند و به کمک شرکت وی ام ور ، در جستجوی راهی برای توسعه و تجمیع راهکارهای امنیتی موجود مانند فایروال های شخصی، آنتی ویروس ، سیستم های تشخیص نفوذ، سیستم های جلوگیری از نفوذ ، آنتی اسپم ها و ... برای سرورهای ESXi هستند و تلاش می کنند که در این بازار از سایر رقبا پیشی بگیرند . بنابراین بحث درباره ویژگیهای امنیتی وی ام ور خالی از لطف نیست . هایپروایزر Container مجزایی برای محافظت از ماشین های مجازی و جریان داده بین آنها فراهم می نماید که به VMsafe معروف است .
VMsafe با استفاده از API های متعددی که دارد میتواند یک آنتی ویروس را روی کرنل هایپروایزر نصب می کند . این ویژگی ماشین های مجازی را از طریق کرنل مدیریت می کند تا دیگر نیاز به Agent آنتی ویروس نداشته باشند .
VMsafe با استفاده از یک آنتی ویروس می تواند ترافیک سرور را مدیریت کند . دستورات ماشین های مجازی از VMkernel می گذرد بنابراین دیگر نصب Agent منتفی می گردد . به عبارت بهتر فرض کنید تعدادی ماشین مجازی داریم . اگر برای هرکدام یک Agent آنتی ویروس نصب کنیم و در یک ساعت معین همه ی آنها شروع به اسکن نمایند سرور down می شود . بنابراین vmoton وارد عمل شده و آنقدر Migrate می کند تا کل پهنای باند را ترافیک vmotion پر می کند. . به دلیل آنکه ترافیک ها همگی از VMkernel عبور می کنند در نتیجه VMsafe در کرنل نصب شده و ترافیک عبوری را در آنجا کنترل میکند. بدین ترتیب دیگر تعداد زیاد Agent برروی هر ماشین مجازی لازم نیست . شکل زیر محل قرار گیری Vmsafe را نشان می دهد .
محل قرار گیری VMsafe
همانطور که در بالا عرض کردم VMsafe مجموعه ای از API هاست که تولیدکنندگان نرم افزارهای امنیتی برای ساخت و تولید نرم افزارهای خود از آنها استفاده می کنند . این API ها در سه دسته قرار می گیرند که عبارتند از:
- vCompute API : یکی از اصلی ترین API های VMsafe است. از آن برای توسعه نرم افزارهای امنیتی که دسترسی به CPU و Memory را قبل از اجرای انواع کدها بازرسی می کنند ، استفاده می شود .
- vNetwork Appliance API : این API توانایی فراهم آوردن راهکاری برای محافظت از جریان بسته های شبکه را داراست . با DVfilter می توان فیلتری برای بسته های شبکه خلق کرد و آن را در جریان بسته های مجازی قرار داد . این فیلتر بین vNIC و vSwitch قرار می گیرد .
- VDDK API : مخفف Virtual Disk Development Kit است و مجموعه کتابخانه های C ، قطعه کدها و .. است که برای ساخت برنامه ها و مدیریت Storage مجازی استفاده میشود . VDDK شامل توابع کتابخانه ای Virtual disk API و Virtual Disk utilities و مستندات آنها است . مصرف کنندگان VDDK API ، ISV ها هستند که آنتی ویروس های متفاوت تولید می کنند .
در بین این سه فقط VDDK در دسترس عموم قرار گرفته است .