חידושי אבטחה ב- Windows Server 2012 – בידוד ואבטחת שרתים וירטואלים עם Hyper-V Extensible Switch

16 במאי 2012

אין תגובות

profile מאת טל שחם, מומחה טכנולוגי לפתרונות Data Center, מיקרוסופט ישראל

 

עם המעבר לפתרונות תשתית כשירות (IaaS), הפכה השמירה על בידוד בין "הדיירים" השונים היושבים בתוך הסביבה הוירטואלית, לדרישה מאתגרת למדי. דרישת הבידוד וההפרדה רלוונטית בסביבה בה מתארחים מספר ארגונים שונים. Windows Server 2012 מספקת אבטחה על ריבוי לקוחות בסביבה וירטואלית באמצעות המתג הווירטואלי החדש, Hyper-V Extensible Switch.

Hyper-V Extensible Switch הוא switch וירטואלי העובד בשכבת הרשת השניה (Layer2) המספק יכולות ניהול נרחבות לחיבור מכונות וירטואליות לרשת הפיזית. ה- Hyper-V Extensible Switchהחדש מספק את יכולות הבידוד והאבטחה הנדרשות לארכיטקטורת multitenancy הודות ליכולות החדשות הבאות:

 

– בידוד מכונות וירטואליות במערך Multitenant באמצעות רשתות VLAN פרטיות (private virtual LANs –  PVLAN).

– הגנה מפני התקפת Address Resolution Protocol (ARP) Poisoning/ Neighbor Discovery (המוכרת גם כ- spoofing).

– הגנה מפני DHCP snooping ו-DHCP Guard.

הגדרת ACLs על פורטים וירטואליים.

– יכולת לחבר ב-trunk רשתות VLAN מסורתיות למכונות וירטואליות.

 

בידוד מכונות וירטואליות עם PVLANs

טכנולוגיית VLAN משמשת בדרך-כלל ליצירת חלוקת משנה של רשתות ולבידוד קבוצות אינדיבידואליות החולקות תשתית פיזית אחת. Windows Server 2012 כולל תמיכה ב-PVLANs, טכניקה המשולבת ב-VLAN ומאפשרת לבודד מכונות וירטואליות הנמצאות על אותה VLAN.

כשמכונה וירטואלית אינה נדרשת לתקשר עם מכונות וירטואליות אחרות, ניתן להשתמש ב-PVLAN כדי לבודד אותה ממכונות וירטואליות אחרות במרכז הנתונים. הגדרת התצורה של תרחיש מסוג זה מחייבת להקצות לכל מכונה וירטואלית ב-PVLAN, PVLAN אחד ראשי, וPVLAN, אחד או יותר, משני. ניתן לשים את קבוצות ה-PVLAN המשניות באחד משלושת המצבים המוצגים בטבלה הבאה. מצבים אלה קובעים האם מכונה וירטואלית יכולה לתקשר עם מכונות וירטואליות אחרות על ה-PVLAN. ההפרדה בין המערכות מתאפשרת ברמה הוירטואלית, ואין עוד צורך להפריד מערכות שונות ל VLANי- שונים.

  table

השרטוט הבא מראה כיצד ניתן להשתמש במצבי PVLAN כדי לבודד מכונות וירטואליות החולקות את אותו VLAN ID ראשי.

חידושי אבטחה ב- Windows Server 2012 - בידוד ואבטחת שרתים וירטואלים עם Hyper-V Extensible Switch

 

הגנה מפני הונאת ARP ו-ND

Hyper-V Extensible Switch מספק הגנה מפני גניבה של כתובת IP ממכונות וירטואליות על ידי מכונה וירטואלית אחרת באמצעות ARP spoofing (פעולה הידועה גם כ-ARP poisoning ב-IPv4). בהתקפת man-in-the-middle מסוג זה, שולחת מכונה וירטואלית זדונית הודעת ARP מזויפת, המשייכת את כתובת ה-MAC שלה לכתובת IP שאינה ברשותה. מכונות וירטואליות תמימות שולחות את תעבורת הרשת המיועדת לכתובת IP זו, לכתובת ה-MAC של המכונה הווירטואלית הזדונית במקום ליעד האמור. עבור רשתות IPv6, מספק Windows Server 2012 הגנה מקבילה מפני התקפות Neighbor Discovery (ND) spoofing.

הגנת DHCP Guard

בסביבת DHCP, יכול שרת DHCP מתחזה ליירט בקשות DHCP המגיעות מצד מחשבי לקוח ולספק להם כתובות שגויות. שרת ה-DHCP המתחזה עלול לנתב את התנועה ברשת לגורם מתווך זדוני המבצע Sniffing של כלל התעבורה לפני העברתה ליעדה האמתי. על מנת להגן על הרשת מפני התקפות מסוג זה, יכול מנהל ה- Hyper-V לקבוע לאלו פורטים של Hyper-V Extensible Switch ניתן לחבר שרתי DHCP. תעבורת DHCP מפורטים אחרים של ה-Hyper-V Extensible Switch תיורט אוטומטית. ה- Hyper-V Extensible Switch, אם כן, מגן כעת מפני שרתי DHCP מתחזים המספקים כתובות IP שגויות לצורך ניתוב בלתי רצוי של תעבורת הרשת.

Access Control Lists של פורטים וירטואליים לבידוד ובקרה על הרשת

רשימות מורשי הגישה (ACLs) של פורטים משמשות כמנגנון לבידוד הרשת ובקרה על התעבורה בפורטים הווירטואליים של ה-Hyper-V Extensible Switch. השימוש ברשומות גישה על פורטים מאפשר לבצע בקרה על כתובות ה-IP או ה-MAC המורשות (או אינן מורשות) לתקשר עם מכונה וירטואלית. ניתן, לדוגמה, להשתמש ברשומות גישה כדי לכפות בידוד על מכונה וירטואלית ולאפשר לה לתקשר רק עם האינטרנט או עם מערך כתובות מוגדר מראש. השימוש בתכונת הבקרה מאפשר לאמוד את תעבורת הרשת הזורמת אל או מכתובת IP או כתובת MAC ספציפית, דבר המאפשר הפקת דוחות על תעבורה הנשלחת או מתקבלת מהאינטרנט או ממערכי אחסון.

לכל פורט וירטואלי ניתן להגדיר מספר רשומות גישה. כל רשומת גישה כזו מורכבת מכתובת מקור או יעד והיתר לפעולת חסימה (deny) או בקרה (meter). היכולת לבצע בקרה מאפשרת גם הפקת מידע לגבי מספר הניסיונות לשלוח תעבורה מ/אל מכונה וירטואלית מכתובת מוגבלת גישה ("deny").

להלן אפשרויות בקרת הגישה על כל פורט:

– אפשר גישה של כתובות מקור או יעד מסוג IPv4, IPv6, או כתובות MAC.

– חסום גישה של כתובות מקור או יעד מסוג IPv4, IPv6, או כתובות MAC.

– מדוד גישה של כתובות מקור או יעד מסוג IPv4, IPv6, או כתובות MAC.

מצב Trunk למכונות וירטואליות

תצורת VLAN מאפשרת לסדרה של מחשבים מארחים או מכונות וירטואליות להראות כאילו הם יושבים על אותה רשת LAN מקומית, באופן שאינו תלוי במיקומם הפיזי בפועל. עם מצב trunk ב-Hyper-V Extensible Switch, ניתן כעת לנתב את התעבורה ממספר VLANs לכרטיס רשת אחד במכונה וירטואלית, מה שהיה עד כה בלתי אפשרי הואיל וכל כרטיס יכול היה לתקשר עם VLAN אחד בלבד. הדבר מביא לאיחוד התעבורה ממספר רשתות VLAN נפרדות, ומאפשר למכונה וירטואלית "להקשיב" למספר VLANs. יכולת זו מאפשרת יותר גמישות בעיצוב תעבורת הרשת וכן לאכוף את האבטחה על ארכיטקטורת Multitenant במרכז הנתונים.

לסיכום

במעבר לתצורת ענן פרטי, במיוחד כשמדובר ב- multi-tenancy, נושא אבטחת המידע הינו מרכיב קריטי, אשר מעסיק את מנהלי ה- IT. Windows Server 2012 הופך את תהליך ההגדרה של מערך האבטחה לפשוט יותר, אך יחד עם זאת, מציע יכולות חזקות ומתקדמות יותר מאי-פעם. עצם העובדה שהיכולות האלו מוצעות כחלק בלתי נפרד ממערכת ההפעלה, מאפשר גמישות מרבית וניצול נכון יותר של משאבים פיזיים מבלי להוסיף מורכבות או סיכונים.

טל שחם הינו מומחה טכנולוגי לפתרונות Data Center, מיקרוסופט ישראל

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *