가상 보안 어플라이언스

가상 보안 어플라이언스는 가상 환경 내에서 실행되는 컴퓨터 어플라이언스입니다.강화된 운영 체제 및 보안 응용 프로그램과 함께 미리 패키지화되어 가상화된 하드웨어에서 실행되므로 어플라이언스라고 합니다.하드웨어는 VMware, Citrix 및 Microsoft 등의 기업이 제공하는 하이퍼바이저 기술을 사용하여 가상화됩니다.보안 어플리케이션은 특정 네트워크보안 벤더에 따라 다를 수 있습니다.Reflex Systems 등의 일부 벤더는 침입 방지 기술을 가상화 어플라이언스로 제공하거나 Blue Lane이 제공하는 다기능 서버의 취약성을 차단하는 방법을 선택했습니다.보안 테크놀로지의 유형은 가상 보안 어플라이언스의 정의와 무관하며 다양한 유형의 보안을 가상 보안 어플라이언스로 도입할 때 달성되는 성능 수준과 관련하여 더욱 관련이 있습니다.다른 문제로는 하이퍼바이저 및 내부에서 실행되는 가상 네트워크에 대한 가시성이 있습니다.

보안 어플라이언스 이력

지금까지 보안 어플라이언스는 전용 하드웨어 접근법에 의해 퍼포먼스 수준을 높일 수 있는 커스텀 ASIC 칩을 탑재한 고성능 제품으로 간주되어 왔습니다.많은 벤더가 IBM, 델, 오프쇼어 브랜드 등의 전용 서버 하드웨어에 전용 애플리케이션을 탑재한 프리빌트 운영체제를 「어플라이언스」라고 부르고 있습니다.어플라이언스의 용어는 현재는 많이 사용되고 있습니다만, 본래의 어근에서 벗어났습니다.하드웨어 플랫폼은 아마도 정적이고 벤더에 의해 제어되기 때문에 관리자는 Linux OS의 기반이 되는 모든 커널을 사용하는 것을 보게 될 것입니다.단, 다음 예시는 로딩 가능한 커널 모듈을 사용하도록 구성되어 있으며, 이는 제품 관리자가 사용하는 기본 하드웨어 플랫폼의 동적 특성을 반영합니다.「어플라이언스」에는, 행정의 개방성의 정도가 다릅니다.Enterasys Dragon 버전7 IPS 센서(GE250 및 GE500)는 Slackware Linux 디스트리뷰션의 경미한 강화 버전으로 관리상의 취약성을 갖추고 있으며, 기본 OS의 관리방법에 적합한 익명 루트액세스를 사용하여 출하됩니다.Motorola Air Defense 관리 콘솔은 "어플라이언스"로 출고되며 루트 액세스가 지원되지 않습니다.관리 설정 태스크는 권한 없는 사용자로 실행되는 텍스트 메뉴를 통해 수행됩니다.Websense DSS 센서 디바이스는 아래에서 CentOS 5.2를 사용하며 셋업 시 루트액세스를 허용합니다.McAfee의 이전 e-Policy Orchestrator 배포는 RedHat 7 기반 배포를 사용하지만 일반 OS 구성 파일의 수정 내용은 재부팅 시 재설정됩니다.이러한 디바이스의 프라이머리 설정은 대부분 웹 인터페이스를 통해 이루어집니다.어플라이언스에 패치가 필요하지 않다는 것은 벤더가 디바이스를 완전히 재이미지화하지 않고 신속한 모듈러 패치를 제공할 가능성이 낮다는 의미보다 정확도가 낮습니다.NetScreen Technologies 및 TipingPoint와 같은 기업은 각각 고성능 방화벽 및 침입 방지 기술을 제공하기 위해 맞춤형 ASIC 칩이 내장된 전용 하드웨어를 사용하여 보안 어플라이언스를 정의했습니다.이들 기업은 2000~2004년 초에 특정 시장을 정의했습니다.

현대적 용어 사용

당시 보안 어플라이언스에는 커스텀 ASIC 칩과 전용 하드웨어가 탑재되어 있었을 뿐만 아니라 견고한 운영체제 상에서 제공되어 보안 어플리케이션이 프리 인스톨 되어 있었습니다.이 기능에 의해, 인스톨이 용이할 뿐만 아니라 퍼포먼스가 향상되어 소프트웨어 벤더는 범용 하드웨어에 프리 인스톨 되어 있는 시큐러티 애플리케이션을 「보안 어플라이언스」라고 부르기 시작했습니다.이 모델은 매우 매력적이기 때문에 Stonesoft나 CheckPoint Soft와 같은 순수 소프트웨어 벤더는 기존 고객 하드웨어 및 고객 운영 체제에 설치해야 했던 소프트웨어를 오랜 기간 판매한 후 자사의 보안 애플리케이션과 함께 사전 구축된 운영 체제를 출하하기 시작했습니다.가상화 테크놀로지가 폭발적으로 발전하면서 하드웨어를 가상화하고 여러 소프트웨어 컴퓨터 인스턴스를 생성할 수 있게 되면서 보안 벤더는 2005년에 보안 어플라이언스를 도입하는 새로운 방법을 모색하고 있음을 알게 되었습니다.벤더로서는 최초로 보안 어플리케이션이 프리 인스톨 되어 있는 견고한 operating system을 제공할 수 있게 되었습니다.이것에 의해, 전용의 하드웨어 디바이스를 접속할 필요는 없습니다.

과제

모든 새로운 테크놀로지에 의해 트레이드오프가 발생합니다.가상 보안 어플라이언스의 경우 트레이드오프는 퍼포먼스 제한의 몇 배입니다.과거 Tiping Point 등의 기업은 전용 하드웨어 버스 보드에 있는 애플리케이션 고유의 집적회로(ASIC)와 필드 프로그래머블 게이트 어레이(FPGA)를 활용하여 침입 방지 기술을 어플라이언스 폼 팩터로 제공했습니다.현재 Reflex Security 및 Blue Lane과 같은 기업은 침입 방지, 방화벽 및 기타 애플리케이션 계층 기술을 가상화하고 있습니다.가상화 환경에서는 운영 체제에서 실행되는 애플리케이션이 동일한 하드웨어 컴퓨팅 리소스를 놓고 경쟁하기 때문에 이러한 목표는 최적의 성능 수준을 제공하는 데 있어 어려움을 겪고 있습니다.물리적 어플라이언스 환경에서는 이러한 리소스가 전용으로 사용되므로 리소스를 기다리는 차단 상태가 발생할 가능성이 낮습니다.

일부 보안 응용 프로그램은 동적 상태를 더 적게 유지합니다.파이어월테크놀로지는 일반적으로 TCP나 UDP 헤더 등의 적은 양의 데이터를 검사하여 상태를 보다 적게 유지합니다.따라서 심플한 IP 방화벽 테크놀로지가 가상화의 후보가 될 가능성이 높아집니다.많은 침입 방지 테크놀로지에서는 payload를 상세하게 검사하고 경우에 따라서는 세션스트림을 감시할 수 있는 시그니처와 다이내믹 설정을 사용합니다.침입 방지는 일반적으로 대량의 상태 유지 및 유지보수가 필요하며 메모리 내의 동적 데이터를 많이 사용합니다.고도로 동적인 데이터 메모리 세그먼트는 코드 세그먼트보다 더 동적이기 때문에 중복 배제가 어렵습니다.공유 리소스가 더 자주 필요하게 되면 리소스 경합이 발생하여 특히 데이터그램을 전송하는 시스템에서 지연이 증가할 수 있습니다.Blue Lane의 애플리케이션 계층 적용과 같은 기술은 검사하는 트래픽이 적기 때문에 영향을 덜 받습니다. 즉, 무해한 트래픽을 통과시키면서 알려진 취약성으로 향합니다.

퍼포먼스에 문제가 발생하는 또 다른 이유는 IPS 테크놀로지의 다이내믹시그니처에서는 커널 새로고침 또는 시스템 재부팅으로 인한 중단을 피하기 위해 운영체제 커널 외부에서 사용자 프로세스를 실행할 필요가 있기 때문입니다.일반적으로 사용자 프로세스는 운영 체제의 메모리 및 프로세스 관리 정책과 분리되기 때문에 오버헤드가 높아집니다.방화벽 기술은 전통적으로 운영 체제 커널의 일부로 실행됩니다.operating system의 내부와의 긴밀한 결합에 의해, 퍼포먼스에 대한 염려가 경감됩니다.

이러한 제한을 극복하기 위해 ASIC 및 멀티코어 프로세서는 전통적으로 IPS 어플리케이션에서 사용되고 있습니다.가상화 테크놀로지는 일반적으로 기반이 되는 애플리케이션 고유의 하드웨어에 대한 직접 하드웨어 접근을 허용하지 않기 때문에 가상화 환경에서는 이러한 고급 기능을 이용할 수 없습니다.가상화는 전용 호스팅 하드웨어에서 충분히 활용되지 않는 범용 애플리케이션에 적합합니다.암호화 또는 상태 유지보수에 통상보다 많은 양의 메모리를 사용하여 특정 하드웨어의 손실을 과도하게 보상하는 것은 서버 가상화의 목적을 달성하지 못합니다.