Содержание к диссертации
Введение
ГЛАВА 1. Актуальные проблемы разграничения доступа и постановка задачи исследования 9
1.1. Общая характеристика современных моделей методов и механизмов решения задачи разграничения доступа к информационным ресурсам 9
1.2. Новые требования к обеспечению информационной безопасности в среде облачных вычислений 18
1.3. Сетецентрический подход к решению задачи разграничения доступа в среде облачных вычислений с использованием межсетевых экранов 29
1.4. Постановка задачи исследования 37
ГЛАВА 2. Формализация процессов информационного взаимодействия в среде облачных вычислений с точки зрения задачи разграничения доступа 40
2.1. Модель информационного взаимодействия для описания процессов разграничения доступа к информационным сервисам 40
2.2. Применение теории категорий для описания динамических характеристик информационных ресурсов в среде облачных вычислений 50
2.3. Метод конфигурации межсетевых экранов, входящих в систему защиты информационного взаимодействия 57
2.4. Выводы 65
ГЛАВА 3. Алгоритмы фильтрации виртуальных соединений в среде облачных вычислений 67
3.1. Параллельный алгоритм фильтрации виртуальных соединений в многоядерной вычислительной платформе 67
3.2. Архитектура сетецентрической системы защиты информационного взаимодействия и алгоритмы информационного обмена между её компонентами 75
3.3. Алгоритм распределения нагрузки между межсетевыми экранами при обработке виртуальных соединений в сетецентрической системе разграничения доступа 83
3.4. Выводы з
ГЛАВА 4. Программная реализация компонент сетецентрическои системы разграничения доступа в среде облачных вычислений 94
4.1. Реализация многопоточной обработки сетевого трафика в ядре операционной системы в межсетевых экранах семейства ССПТ-2 94
4.2. Исследование эффективности многопоточной обработки виртуальных соединений в ядре ОС 103
4.3. Интеграция сетецентрическои системы разграничения доступа в среду облачных вычислений 111
4.4 Выводы 120
Заключение 122
Перечень сокращений и условных обозначений 124
Список использованной литературы
- Новые требования к обеспечению информационной безопасности в среде облачных вычислений
- Применение теории категорий для описания динамических характеристик информационных ресурсов в среде облачных вычислений
- Архитектура сетецентрической системы защиты информационного взаимодействия и алгоритмы информационного обмена между её компонентами
- Исследование эффективности многопоточной обработки виртуальных соединений в ядре ОС
Введение к работе
Актуальность темы диссертации
Развитие сетевых технологий в направлении создания сред облачных вычислений (СОВ) предъявляет новые требования к средствам разграничения доступа (РД) к информационным сервисам - одному из основных компонент современных систем информационной безопасности (ИБ). Эти требования вытекают из необходимости учета динамического характера процессов выделения вычислительных и сетевых ресурсов при конфигурации виртуальных машин (ВМ) и структуры адресного пространства, используемого для доступа к информационным сервисам. Описание политики доступа (ПД) может быть представлено с помощью правил фильтрации (ПФ) сетевого трафика, структура и параметры которых генерируются в процессе функционирования СОВ и сервисов, реализуемых с использованием ВМ. При этом необходимо учитывать требования сохранения целостности ПД, аналогично тому, как в условиях изменения сетевой топологии для сохранения информационной связанности ресурсов в Интернет используются протоколы динамической маршрутизации. Поэтому при использовании СОВ для размещения информационных сервисов особую актуальность приобретает сложная научно-техническая задача развития технологии защиты информации, обеспечивающей выполнение требований ПД в сетевой среде с динамически изменяющимися характеристиками.
Важность этой задачи отмечается как российскими, так и зарубежными учёными, в том числе Н.А. Гайдамакиным, П.Д. Зегждой, В.Ю. Скибой, М. Сриватса, Т. Вангом и др.
Перспективным направлением решения задачи РД в СОВ является использование технологии межсетевого экранирования с учетом динамики структуры и параметров защищаемой сетевой среды. Применение этой технологии основано на модели РД к информационным сервисам в СОВ, отражающей требования ПД. Такая модель может быть представлена с использованием динамически формируемого набора правил фильтрации, в соответствии с состоянием информационных сервисов. Однако возрастающая сложность алгоритмов фильтрации предъявляет высокие требования к производительности межсетевых экранов (МСЭ), что делает необходимым использование методов параллельной обработки информационных потоков с помощью ВМ, реализующих сервис РД на базе многоядерных микропроцессоров. Предложенное направление развития сервиса РД требует разработки метода динамического формирования ПФ для межсетевых экранов (МСЭ), разработки взаимно согласованного набора алгоритмов фильтрации сетевых соединений, не соответствующих требованиям ПД, и создания архитектуры программного обеспечения для виртуальных машин,
выполняющих функции МСЭ, реализующих политику доступа в СОВ. В современной литературе подход к созданию сложных технических систем, связанность которых обеспечивается за счет организации процессов обмена информацией по сети, получил название сетецентрического. Этот подход применительно к задаче РД требует обеспечения ситуационной осведомленности и локальности действий каждого из межсетевых экранов, входящих в группировку ВМ, используемых в СОВ для реализации ПД.
Целью исследования является разработка метода и алгоритмов защиты информационного взаимодействия с использованием межсетевых экранов в среде облачных вычислений.
Для достижения поставленной цели в диссертационной работе решены следующие задачи.
-
Разработана модель информационного взаимодействия для описания процессов разграничения доступа к информационным сервисам, учитывающая динамические характеристики среды облачных вычислений.
-
Разработан метод конфигурации межсетевых экранов, основанный на динамическом формировании правил фильтрации в соответствии с изменяющимися параметрами информационного взаимодействия.
-
Разработан параллельный алгоритм фильтрации виртуальных соединений, позволяющий повысить производительность работы межсетевых экранов.
-
Разработана архитектура системы защиты информационного взаимодействия, обеспечивающей выполнение заданной политики доступа.
Методы исследования: для рещения сформулированных задач использовался аппарат теории алгоритмов, теории защиты информации, системного анализа и теории категорий.
Объект исследования: система разграничения доступа к информационным сервисам в среде облачных вычислений.
Предмет исследования: методы и алгоритмы динамической конфигурации межсетевых экранов в среде облачных вычислений, реализующие сетецентрическии подход к организации системы разграничения доступа.
Научная новизна работы результатов диссертации заключается в следующих аспектах.
-
В разработке модели состояния сетевой среды в задачах разграничения доступа с использованием теории категорий.
-
В создании метода динамического формирования правил фильтрации для межсетевых экранов в условиях изменяющейся структуры связей между субъектами и объектами информационного взаимодействия.
-
В разработке архитектуры системы защиты информационного взаимодействия, обеспечивающей выполнение заданной политики доступа.
Положения, выносимые на защиту
-
Модель информационного взаимодействия для описания процессов разграничения доступа к информационным сервисам, учитывающая динамические характеристики среды облачных вычислений.
-
Метод конфигурации межсетевых экранов, основанный на динамическом формировании правил фильтрации в соответствии с изменяющимися параметрами информационного взаимодействия.
-
Параллельный алгоритм фильтрации виртуальных соединений, позволяющий повысить производительность работы межсетевых экранов.
-
Архитектура системы защиты информационного взаимодействия, обеспечивающая выполнение заданной политики доступа.
Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается проведением анализа исследований в данной области и апробацией полученных результатов в печатных трудах и докладах на всероссийских и международных научных конференциях.
Практическая значимость работы. Разработанные модели, методы и алгоритмы могут быть использованы для решения задач РД в СОВ и виртуализованных центрах обработки данных. Внедрение созданных средств РД позволяет осуществить контроль сетевого трафика, передаваемого по нефизическим каналам связи, обеспечиваемых пшервизорами СОВ. Разработанные методы и алгоритмы параллельной обработки сетевого трафика обеспечат развитие технологии межсетевого экранирования и повышение функциональных возможностей систем РД. Результаты, полученные в диссертационной работе, использованы при создании межсетевых экранов, сертифицированных по требованиям руководящих документов ФСТЭК и ФСБ, позволяющих осуществлять РД в скрытном режиме. Также результаты исследований использованы в научно-исследовательском проекте разработки защищенной среды облачных вычислений «Пилигрим», выполняемом в ГНЦ «ЦНИИ РТК» и при выполнении НИР на кафедре телематики ФГБОУ ВПО «СПбГПУ».
Апробация и публикация результатов работы. Основные положения и результаты диссертационной работы докладывались на межвузовских, всероссийских и международных научных конференциях, среди которых: СКТ
-
(Россия, Дивноморск, 2010), ПАВТ 2011 (Россия, Москва 2011), IEEESMC
-
(США, Аляска, 2011), INTERNET 2012 (Италия, Венеция, 2012), а также на промышленной выставке «Связь-Экспокомм 2012». По теме диссертации опубликовано 11 работ, в том числе 4 статьи в изданиях, входящих в перечень Высшей аттестационной комиссии Министерства образования и науки Российской Федерации.
Результаты диссертационной работы получены в ходе научно-исследовательских работ, выполненных при поддержке Комитета по науке и высшей школе Правительства Санкт-Петербурга на средства гранта в сфере научной и научно-технической деятельности за 2012 год.
Структура и объем диссертационном работы. Диссертационная работа объемом 140 машинописных страниц, содержит введение, четыре главы и заключение, список литературы, содержащий 91 наименование, 15 таблиц и 34 рисунка.
Новые требования к обеспечению информационной безопасности в среде облачных вычислений
Процесс развития информационных технологий испытывает потребность в использовании инновационных решений в области создании систем защиты корпоративных данных. Это связано с тем, что с одной стороны интеграционные процессы позволяют существенно облегчить и ускорить доступ к различным видам данных, но при этом требуется использование открытой архитектуры систем хранения и обработки, что существенно снижает степень защищенности информации от несанкционированного доступа и повышает риски неавторизованного использования. Постоянное усложнение сетевой инфраструктуры, увеличивающиеся скорость процессов обмена данными и широкое использование технологий распределенных сервисов предъявляют высокие требования к эффективности функционирования систем разграничения доступа (РД) к информационным ресурсам. Доктрина информационной безопасности Российской Федерации [1] определяет понятие информационной сферы как совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная безопасность в широком смысле представляет собой такое состояние объекта защиты, которое, исключает возможность нанесения вреда свойствам объекта, обусловленным его взаимодействием с информационной сферой [2]. Обозначенная выше возможность нанесения вреда свойствам объекта называется угрозой. Согласно ГОСТ Р 51624-00 [3] угроза безопасности определяется как совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.
Фундаментальным понятием в сфере защиты информации компьютерных систем является политика безопасности. Под ней понимают [4] интегральную совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает состояние защищенности информации в заданном пространстве угроз. Формальное выражение политики безопасности (математическое, схемотехническое, алгоритмическое и т.д.) называют моделью безопасности [5].
Среди программно-технических методов защиты информации в первую очередь выделяют разграничение доступа [4]. Разграничение доступа непосредственно обеспечивает конфиденциальность информации, а также снижает вероятность реализации угроз целостности и правомерной доступности. Таким образом, разграничение доступа можно рассматривать как комплексный программно-технический метод защиты информации в компьютерных системах (КС) и необходимое условие обеспечения состояния защищенности информации в КС. В работе используется определение, данное этому понятию в [5]:
«Под разграничением доступа к информации в КС будем понимать разделение информации, циркулирующей в КС, на части, элементы, компоненты, объекты и т.д., и организацию такой системы работы с информацией, при которой пользователи имеют доступ только и только к той части (к тем компонентам) информации, которая им необходима для выполнения своих функциональных обязанностей или необходима исходя из иных соображений».
Большинство моделей разграничения доступа основывается на представлении КС как совокупности субъектов и объектов доступа. Рассмотрим формализацию задачи разграничения доступа. В компьютерной системе действует дискретное время. В каждый момент времени tk в КС функционирует множество субъектов 5" и множество объектов О. Под субъектом доступа понимается активная сущность КС, которая может изменять состояние системы путем действий с объектами, в том числе, порождать новые объекты и инициализировать порождение новых субъектов. Под объектом доступа понимается пассивная сущность КС, процессы над которой могут в определенных случаях быть источником порождения новых субъектов. В классических моделях разграничения доступа, рассматриваемых в [5], предполагается наличие априорно безошибочного механизма различения активных и пассивных сущностей (т. е. субъектов и объектов) по свойству активности. Все процессы безопасности в КС описываются доступами субъектов к объектам, вызывающими потоки информации. Поток информации между объектом Oj и объектом Oj - это произвольная операция над объектом Oj, реализуемая в субъекте sm и зависящая от объекта О;. Поток информации всегда инициируется субъектом. Все потоки информации задаются множеством потоков Р.
Доступом субъекта S к объекту О называется порождение субъектом S потока информации между субъектом S и объектом О. Приведенное понятие доступа широко используется в моделях разграничения доступа [6,7,8]. Возникающий поток информации между субъектом и объектом можно также определить как совершаемое субъектом действие.
Применение теории категорий для описания динамических характеристик информационных ресурсов в среде облачных вычислений
При разработке системы разграничения доступа как единой связанной распределенной информационной среды необходимо выбрать модель угроз, которой сопоставить выбранные средства и механизмы обеспечения информационной безопасности для каждого уровня эталонной модели взаимодействия открытых систем (ВОС). В соответствии с ГОСТ Р ИСО 7498-2-99 [14], каждый уровень модели ВОС своим составом критичной информации и набором угроз. Механизмы безопасности являются конкретными мерами реализации средств защиты. Важнейшей частью стандарта ISO 7498-2 является определение того, какие средства защиты должны обеспечиваться на каждом из уровней эталонной модели ВОС. Стандарт определяет семь принципов распределения средств защиты информации по уровням управления:
Архитектура ВОС определяет пять основных средств безопасности: конфиденциальность, аутентификацию, целостность, управление доступом и контроль участников взаимодействия. Заметим, что перечисленный набор средств безопасности определен достаточно формально поскольку, например, задачи аутентификации, целостности, контроля участников взаимодействия на практике решаются единым комплексом взаимосвязанных мер.
Представленные требования необходимо применить к системе разграничения доступа в среде облачных вычислений. Как было отмечено ранее, среда ОВ имеет распределенную архитектуру и состоит из множества компонент. Важным отличием облачных вычислений от других вычислительных систем является свойство масштабируемости. Ресурсоемкость СОВ может быть увеличена путем подключения дополнительных серверов виртуализации или с помощью изменения их конфигурации без изменения программного кода и без существенного изменения конфигурации системы в целом. Такие же требования необходимо предъявить к системе разграничения доступа в среде ОВ. Добавление вычислительных ресурсов в облако должно вести к масштабированию системы РД. Среда облачных вычислений характеризуется тем, что все взаимодействие между ее ресурсами и компонентами происходит только с помощью сетевого взаимодействия, по компьютерной сети. Пользователь облака, как правило, не имеет возможности доступа к своему ресурсу, кроме как через компьютерную сеть. Взаимодействие облачных ресурсов между собой также осуществляется по сети, которая является единственной связью ресурса с внешним миром. При этом компьютерную сеть можно разделить на две составляющих: физический сегмент и виртуальный сегмент. Виртуальные сегменты сети не существуют в виде физических линий связи, медных или оптико-волоконных каналов, а виртуализованы гипервизором с использованием программных сетевых мостов и виртуальных коммутаторов. Для информационного взаимодействия в среде облачных вычислений используются IP сети, взаимодействие осуществляется при помощи протоколов стека TCP/IP [10]. Поэтому для задачи разграничения доступа в среде ОВ могут быть применены методы, которые используются" в классических системах после адаптации к специфике описываемых систем.
Рассмотрим подходы к разграничению доступа в ОВ с помощью межсетевых экранов. Классическим сценарием применения МСЭ является разграничение доступа на границах сегментов. В среде ОВ в общем случае есть да сегмента: сегмент управления и сегмент информационных ресурсов. Рассмотрим границы сегментов:
1. Граница управляющей сети СОВ с внешней сетью. Под облачной СОВ понимается совокупность всех аппаратных компонент вычислительной системы, объединенных общей сетью или сетями. Именно в этом месте устанавливается система управления облаком - сервер программных интерфейсов и веб панель. Задача МСЭ - осуществлять разграничение доступа между пользователями облака и управляющими компонентами;
2. Граница сети информационных ресурсов СОВ с внешней сетью. На границе перечисленных сегментов, как правило, устанавливается сервер, осуществляющий трансляцию внутренних адресов информационных ресурсов облака во внешние адреса. МСЭ, установленный между этими сегментами, должен осуществлять контроль информационного взаимодействия вычислительных ресурсов СОВ с внешними вычислительными компонентами, серверами, пользователями. Например, блокировать трафик, порождаемый при рассылке спама;
3. Граница сети управления СОВ и сети вьлислительных ресурсов. В некоторых случаях взаимодействие с облачными компонентами из виртуальной машины может быть разрешено определенной группе пользователей. Например, данная функциональность может быть использована для отправки команд запуска новых виртуальных машин из ранее запущенной ВМ.
Однако наличие МСЭ в вышеперечисленных границах сегментов не решает в полной мере задачу РД в среде ОВ. За рамками контроля остается информационное взаимодействие между вычислительными ресурсами внутри среды облачных вычислений. В облачной среде могут быть запущены вычислительные ресурсы, принадлежащие разным группам пользователей. Более того, так как балансировка нагрузки в облачной системе осуществляется облачным программным обеспечением, то в рамках одного гипервизора может быть запущено несколько виртуальных вычислительных машин, между которыми запрещен информационный обмен согласно действующей ПД. Зачастую необходимо обеспечить возможность информационного обмена между определенными пользователями и по заданным протоколам, запретив остальной сетевой трафик между группами пользователей.
В качестве модели угроз в работе рассматриваются угрозы нарушения политики безопасности при доступе к информационным сервисам в ВМ, или к управляющим сервисам СОВ. Модель нарушителя, рассматриваемая в работе, включает два основных типа нарушителей: внешний нарушитель, не имеющий прав доступа к СОВ, осуществляющий попытку доступа к информационным или управляющим сервисам, и внутренний пользователь, осуществляющий попытку запрещенного доступа к информационным сервисам других пользователей или к управляющим сервисам СОВ. МСЭ осуществляет разграничение доступа к информационным и управляющим сервисам с помощью ПФ, содержащих параметры адресов канального и сетевого уровней, портов транспортного уровня и используемых прикладных протоколов стека TCP/IP.
Архитектура сетецентрической системы защиты информационного взаимодействия и алгоритмы информационного обмена между её компонентами
Функция принимает значение «1», если ИВС разрешено, «0», если ИВС запрещено, « », если классификация соединения на данный момент невозможна (например, соединение только в стадии установления) [65, 66]. Так как ИВС, представлено подмножеством ТВС, то функцию контроля можно разбить на составляющие. Так как функция контроля принимает три значения, то операции проводить с использованием многозначной логики [67]. В случае функции контроля ВС будем считать, что 1 и аналогом конъюнкции двух двоичных функций /1Л/2 будет являться функция min(/i,/2) для троичных функций /j и /2в представленной троичной логике. Итак, если ИВС;, которое подлежит контролю, состоит из п технологических ВС ИВС; = {ТВСдДВС ДВС з ...,ТВС;п}, то функция контроля ИВС выглядит следующим образом:
Рассмотрим подробнее функцию контроля технологического информационного соединения F(RulesTBC, ТВС). Объект, ассоциированный с ТВС, содержит вектор состояния технологического соединения, в который входят данные из полей протоколов (физические и сетевые адреса, используемый прикладной протокол, порты, номера принимающих интерфейсов и др.), формирующие ТВС и статистические данные (количество принятых и переданных байт, время начала соединения, время последней активности, и другие). Контроля ТВС может быть разбит на три этапа [8]:
Если одна из функций контроля ТВС имеет значение 0, то ИВС принимается за запрещенное и все ТВС, принадлежащие данному ИВС, должны быть запрещены. Поэтому целесообразно осуществлять балансировку соединений по процессам обработчика не по технологическим, а по информационным виртуальным соединениям. Рассмотрим алгоритм контроля ИВС в многопоточной среде выполнения. Для вычислительной платформы с п ядрами запускается п потоков обработчиков и между ними осуществляется распределение ИВС. Алгоритм можно представить в виде следующей схемы, представленной нарис. 3.3:
На рис.3.3. показан процесс обработки пакетного трафика. Очередной пакет обрабатывается в потоке первичной обработки, осуществляется разбор полей заголовков сетевых протоколов и определяется контекст ТВС и ИВС, которому принадлежит ИВС. Если обработка ИВС ранее не производилась, то ИВС назначается поток обработчик, путем вычисления хеш-функции h(ТВС) первого ТВС, которое является инициатором рассматриваемого ИВС. По хеш-функции определяется поток обработчик и дальнейшая обработка делегируется этому потоку. Если обработка ИВС производилась ранее, то ТВС, принадлежащее ИВС делегируется на поток обработчик. В блоке, обозначенном как «фильтр», происходит обработка ТВС. Упрощенный алгоритм обработки ТВС представлен нарис. 3.4. Получение пакета
Представленный алгоритм выполняется в отдельном потоке-обработчике. По завершению обработки, в зависимости от того, разрешено ли виртуальное соединение, или классификация отложена, пакет помещается в одну из двух очередей: в очередь приоритетных соединений или в очередь фоновых соединений, откуда пакеты поступают на выходной сетевой интерфейс межсетевого экрана. Для вычисления функции контроля виртуального соединения используется локальная таблица правил фильтрации, которая хранится в области памяти, доступ к которой осуществляется только из потока обработчика. Правила фильтрации, необходимые для контроля виртуальных соединений, обрабатываемых в потоке обработчике, загружаются при необходимости из глобальной таблицы правил фильтрации. При этом, при обращении к глобальной таблице ПФ осуществляется обращение к мьютексу, для обеспечения синхронного доступа к структурам данных. Так как с локальной таблицей работает только поток обработчик, то операций синхронизации доступа при работе с ней не производится, что повышает производительность системы. Однако, при таком подходе расход памяти в худшем случае будет в (п+1) раз выше по сравнению с общей таблицей ПФ, где п - количество потоков обработчиков.
Отдельно необходимо рассмотреть таблицы ПФ в МСЭ. Как было отмечено в разделе 2.3, локально действующий МСЭ располагает не всеми ПФ, а только необходимыми для контроля обрабатываемого им сетевого трафика (рис. 3.5). Таким образом, обеспечивается трехуровневая модель управления данными, снижающая эффект «стены памяти»[71].
Представленные алгоритмы используют многопоточную платформу для контроля информационного взаимодействия. Изменяя количество потоков обработчиков можно задавать количество задействованных вычислительных ядер системы. Если МСЭ является виртуальной машиной, то представленный подход обеспечивает возможность масштабирования производительности межсетевого экрана. Гипервизор облачной системы может выделить дополнительные процессорные ядра виртуальной машине и путем запуска дополнительных потоков обработчиков обеспечивается повышение эффективности обработки сетевого трафика. И наоборот, если МСЭ задействует неиспользуемые вычислительные ядра, представленный подход обеспечивает возможность уменьшить количество потоков обработчиков, освободив, таким образом, дополнительные вычислительные ресурсы для других компонент облачной системы.
Исследование эффективности многопоточной обработки виртуальных соединений в ядре ОС
Для обеспечения контроля виртуального трафика, масштабирования производительности средств контроля информационного взаимодействия и обеспечения возможности использования вычислительных ресурсов гипервизора необходимо осуществить перенос программных компонент межсетевого экрана в виртуальную среду выполнения. Важным аспектом является поддержка как можно большего количества гипервизоров, чтобы система защиты могла быть интегрирована в разные облачные системы, без привязки к конкретной среде виртуализации.
Так как платформой для межсетевых экранов семейства ССПТ является операционная система FreeBSD, то выбор поддерживаемых гипервизоров основывался на возможности выполнения гостевой системы под управлением ОС FreeBSD. В таблице 4.9 представлены гипервизоры, поддержка которых была осуществлена.
Также было проведено исследование эффективности фильтрации виртуальных соединений межсетевым экраном в виртуальной среде выполнения, которое показало отсутствие потерь на виртуализацию, в случае, когда межсетевой экран осуществляет фильтрацию в режиме полной виртуализации ввода вывода, пропускная способность экрана ограничена пропускной способностью эмулируемой передающей среды, то есть 100Мбит/с или 1000Мбит/м. Если межсетевой экран работает в режиме паравиртуализации, то драйвера сетевых интерфейсов не имеют характеристики несущей частоты, и пиковая скорость передачи данных ограничена наименьшим значением из производительности межсетевого экрана и виртуального коммутатора, используемого в гипервизоре. При тестировании МЭ ССПТ-2, осуществляющего контроль трафика между виртуальными машинами и подключённого к VMware vSwitch была достигнута скорость информационного обмена в 4.5 Гбит/с.
Осуществлена интеграция межсетевого экрана ССПТ-2 в вычислительную платформу Cisco UCS [21]. МСЭ был интегрирован в систему в виде виртуальной машины и подключен к распределенному коммутатору Cisco Nexus lOOOv.
На рис. 4.8 показана схема подключения ССПТ-2 к распределенному коммутатору Cisco Nexus 1000V. МСЭ экран осуществляет разграничение доступа между тремя сегментами виртуальной сети. Управление межсетевым экраном осуществляется по выделенному интерфейсу, который через мост подключен к сетевому интерфейсу сервера Cisco UCS. Через этот интерфейс администратор системы защиты информации осуществляет управление межсетевым экраном. Также управление может осуществлять автоматизированная система, осуществляющая координированное действие группы межсетевых экранов. Межсетевой экран был развернут в виде виртуальной машины, функционирующей под управлением гипервизора VMware ESXi на платформе Cisco UCS С200 m2.
Подключение межсетевого экрана к виртуальному коммутатору
Классическим сценария применения межсетевого экрана является его включение между сегментами сетей для разграничения доступа. Таким образом, обеспечивается, например, разделение отделов бухгалтерии и разработки ПО друг от друга. Разрешается только информационное взаимодействие регламентированное политикой доступа, например, подсоединение к общей базе данных. В таких случаях МСЭ подключается к коммутаторам и маршрутизаторам и осуществляет контроль трафика между сегментами. Однако в среде облачных вычислений ресурсы, виртуальные машины динамически назначаются на выполнение в каком-либо гипервизоре, и в рамках этого гипервизора может функционировать множество виртуальных машин, принадлежащих разным пользователям и группам. При этом, все виртуальные машины гипервизора, как правило, подключены к одному программному коммутатору. Как было отмечено в работе, важной задачей является создание монитора безопасности, осуществляющего контроль информационного взаимодействия между ресурсами среды облачных вычислений.
Для решения задачи контроля виртуальных соединений между виртуальными машинами необходимо задать правила поведения виртуального коммутатора. Сетевая подсистема гипервизора реализована с использованием, так называемых программных коммутаторов, или мостов. Самой простой реализацией является сетевой мост, входящий в ядро ОС Линукс - linux bridge[35]. Данный сетевой мост поддерживает коммутацию пакетов по mac адресам, протокол покрывающего дерева (STP) и является во многих случаях достаточным средством для функционирования сетевой подсистемы в виртуализированных системах. Однако возможны ситуации, когда функциональности стандартного сетевого моста недостаточно. Одна из них -контроль информационного взаимодействия. Существуют более функциональные решения, например, как Cisco Nexus lOOOv [37] или VMware distributed vSwitch [89], которые обладают возможностью фильтрации сетевого трафика с помощью проприетарной технологии VMware vPath [21]. Суть технологии vPath заключается в том, что коммутатор отправляет сетевой пакет виртуальной машине, подключенной к нему, которая является межсетевым экраном. Виртуальная машина проводит анализ сетевого трафика и отвечает, разрешен этот трафик или запрещен. Данная технология имеет два недостатка: во-первых она применима только к линейке проприетарных решений от компании VMware, во-вторых требуется разработка нового программного обеспечения, реализующего интерфейсы vPath, уже существующие решения подключить невозможно. Открытой альтернативой, представленным решениям, является программный коммутатор Open vSwitch [36], который является заменой стандартному сетевому мосту в ОС Линукс. Данный программный коммутатор поддерживает протоколы OpenFlow, QoS, VLAN.
Для интеграции межсетевого экрана в сетевую подсистему гипервизора был выбран программный коммутатор Open vSwitch. Межсетевой экран подключается одним или двумя интерфейсами к программному коммутатору и с помощью правил openflow, изменяющих таблицы коммутации, было реализовано перенаправление сетевого трафика на фильтрующий интерфейс межсетевого экрана, что обеспечило контроль всего информационного обмена между виртуальными машинами в гипервизоре.
