仮想セキュリティアプライアンス

仮想セキュリティアプライアンスは、仮想環境内で実行されるコンピュータアプライアンスです。強化されたオペレーティングシステムとセキュリティアプリケーションが事前にパッケージ化されており、仮想化されたハードウェア上で実行されるため、アプライアンスと呼ばれます。ハードウェアは、VMwareCitrixMicrosoftなどの企業が提供するハイパーバイザテクノロジを使用して仮想化されます。セキュリティアプリケーションは、特定のネットワークセキュリティベンダーによって異なる場合があります。Reflex Systemsなどの一部のベンダーは、侵入防止テクノロジを仮想化アプライアンスとして、またはBlue Laneが提供する多機能サーバー脆弱性シールドとして提供することを選択しています。セキュリティテクノロジの種類は、仮想セキュリティアプライアンスの定義には関係ありませんが、仮想セキュリティアプライアンスとしてさまざまな種類のセキュリティを展開するときに達成されるパフォーマンスレベルに関しては関係があります。その他の問題には、ハイパーバイザと内部で実行される仮想ネットワークの可視性が含まれます。

セキュリティアプライアンスの歴史

従来、セキュリティアプライアンスは、専用ハードウェアアプローチによってより高いパフォーマンスレベルを実現するカスタムASICチップを搭載した高性能製品と見なされてきました。多くのベンダーは、IBM、Dell、海外ブランドなどの専用サーバーハードウェア上に専用アプリケーションを搭載したプレビルドオペレーティングシステムを「アプライアンス」と呼ぶようになりました。アプライアンスという用語は現在広く使用されていますが、本来の語源からは逸脱しています。管理者は、ハードウェアプラットフォームが静的でベンダー管理下にあると想定されるため、基盤となるLinux OSはモノリシックカーネルを採用していると予想します。しかし、以下の例は、製品マネージャーが使用する基盤となるハードウェアプラットフォームの動的な性質を反映し、ローダブルカーネルモジュールを使用するように構成されています。「アプライアンス」は、管理上のオープン性の度合いが異なります。Enterasys Dragonバージョン7 IPSセンサー(GE250およびGE500)は、 Slackware Linuxディストリビューションの軽度に強化されたバージョンであり、管理上の脆弱性を伴います。匿名ルートアクセスが付属しており、基盤となるOSの管理方法として推奨されています。 Motorola AirDefense管理コンソールは、ルートアクセスをサポートしない「アプライアンス」として出荷されます。管理設定タスクは、権限のないユーザーとして実行されるテキストメニューから実行します。Websense DSSセンサーデバイスはCentOS 5.2を基盤として使用し、セットアップ時にルートアクセスも許可します。McAfee旧バージョンのe-Policy OrchestatorディストリビューションはRedHat 7ベースのディストリビューションを使用していますが、一般的なOS設定ファイルへの変更は再起動時にリセットされます。これらのデバイスの主な設定は、ほとんどがWebインターフェースを介して行われます。アプライアンスにパッチが不要であるという解釈は、ベンダーがデバイスを完全に再イメージ化せずに迅速にモジュール型パッチを提供する可能性が低いという解釈ほど正確ではありません。NetScreen TechnologiesやTippingPointなどの企業は、高性能なファイアウォールと侵入防御技術をそれぞれ提供するために、カスタムASICチップを搭載した専用ハードウェアを持つものとしてセキュリティアプライアンスを定義しました。これらの企業は、2000年代初頭から2004年にかけて、それぞれの市場を定義しました。

この用語の現代における用法

当時のセキュリティアプライアンスは、カスタムASICチップと専用ハードウェアを搭載していただけでなく、強化されたオペレーティングシステム上で提供され、セキュリティアプリケーションがプリインストールされていました。この機能はパフォーマンスとインストールの容易さの両方を実現し、結果としてソフトウェアベンダーは汎用ハードウェアにプリインストールされたセキュリティアプリケーションを「セキュリティアプライアンス」と呼ぶようになりました。このモデルは非常に魅力的になり、StonesoftCheckPoint Softwareといった純粋なソフトウェアベンダーは、長年顧客の既存のハードウェアとオペレーティングシステムにインストールする必要があるソフトウェアを販売してきましたが、セキュリティアプリケーションにプリビルドされたオペレーティングシステムを出荷し始めました。仮想化技術の爆発的な発展により、ハードウェアを仮想化し、複数のソフトウェアコンピュータインスタンスを作成できるようになり、2005年にはセキュリティベンダーにとって、セキュリティアプライアンスを導入する新しい方法が間近に迫っていることが明らかになりました。ベンダーは歴史上初めて、専用のハードウェアデバイスを接続することなく、容易に導入できるセキュリティアプリケーションをプリインストールした強化されたオペレーティングシステムを提供できるようになりました。

課題

新しいテクノロジーには常にトレードオフが伴いますが、仮想セキュリティアプライアンスの場合、そのトレードオフは多くの場合パフォーマンスの制限です。かつては、Tipping Pointなどの企業がアプライアンスフォームファクターで侵入防止テクノロジーを提供し、専用のハードウェアバスボードに搭載された特定用途向け集積回路(ASIC)やフィールドプログラマブルゲートアレイ(FPGA)を活用することで最高レベルのパフォーマンスを提供していました。今日では、Reflex SecurityやBlue Laneなどの企業が侵入防止、ファイアウォール、その他のアプリケーション層テクノロジーを仮想化しています。これらの目標は、最適なパフォーマンスレベルを実現するという課題に直面しています。仮想化の世界では、オペレーティングシステム上で実行されるアプリケーションが同じハードウェアコンピューティングリソースを奪い合うためです。物理アプライアンスの世界では、これらのリソースは専用であり、リソース待ちによるブロック状態が発生する可能性は低くなります。

一部のセキュリティアプリケーションは、動的状態をあまり維持しません。ファイアウォール技術は通常、TCP および UDP ヘッダーなどの少量のデータを検査し、通常は状態も少なく維持します。そのため、シンプルな IP ファイアウォール技術は仮想化の候補となる可能性が高くなります。多くの侵入防止技術は、ペイロードの詳細な検査や、場合によってはセッション ストリームの監視を可能にするシグネチャと動的構成を使用します。また、侵入防止は通常、大量の状態の保持と管理を必要とし、メモリ内の動的データを多用します。高度に動的なデータ メモリ セグメントは、コード セグメントよりも動的であるため、重複排除が困難になることがよくあります。共有リソースがより頻繁に必要になるため、リソース競合が発生し、特にデータグラムを転送するシステムでは遅延が発生する可能性があります。Blue Lane のアプリケーション層エンフォースメントなどの技術は、検査するトラフィックが少ないため、影響を受けにくくなります。つまり、既知の脆弱性につながるトラフィックを検査しながら、無害なトラフィックを通過させるのです。

パフォーマンス上の課題が生じるもう一つの理由は、IPSテクノロジーの動的シグネチャにより、カーネルのリロードやシステムの再起動によるシステム停止を回避するため、検査アプリケーションがユーザープロセスをオペレーティングシステムカーネルの外部で実行する必要があることです。ユーザープロセスは、オペレーティングシステムのメモリおよびプロセス管理ポリシーから分離されているため、通常、オーバーヘッドが高くなります。ファイアウォールテクノロジーは、従来、オペレーティングシステムカーネルの一部として実行されます。オペレーティングシステム内部との密接な連携により、パフォーマンス上の懸念は軽減されます。

これらの制限を克服するため、従来、IPSアプリケーションではASICやマルチコアプロセッサが使用されてきました。しかし、仮想化技術では通常、アプリケーション固有のハードウェアに直接アクセスできないため、仮想化環境ではこうした利点は享受できません。仮想化は、専用ホスティングハードウェアでは十分に活用されない汎用アプリケーションに適しています。暗号化に通常よりも多くの計算サイクルを費やしたり、状態維持にメモリを費やしたりすることで、特定のハードウェアの損失を過剰に補おうとすると、サーバー仮想化の目的が損なわれます。

仮想セキュリティアプライアンスの例

さらに読む

参照