Virtualisering for økt sikkerhet

Virtualiserte brannmurer har vært med oss noen år. Check Point lanserte sin første i 2002. Opprinnelig ble virtuelle brannmurer laget for de store operatørene og tjenestetilbyderne som trengte fleksible løsninger hvor de slapp å måtte installere en brannmurenhet per kunde.

Etter hvert har erfaringene med virtuelle brannmurer gjort at utviklingen går i retning av at virksomheter flest tilbys virtuelle løsninger. Leif Sundsbø i Check Point mener at virksomheter med tre brannmurer eller flere vil få rimeligere og bedre sikkerhet som er enklere å administrere ved å velge Check Points virtuelle løsning.

Våre dagers brannmurer håndterer gjerne mer enn den tradisjonelle, og noen velger å bruke benevnelsen UTM – Unified Threat Management for enheter som håndterer flere typer trusler. Check Points VPN-1 Power VSX NGX R65 kan kanskje kalles en UTM, men er mer enn det. Check Point kaller den en Multi-service Operations Platform, og bruker forkortelsen MSOP.

Fleksibilitet

Virtualisering betyr fleksibilitet, og Sundsbø peker på forskjellige måter du kan trekke nytte av virtualisert sikkerhet på.

– Har du en brannmur som har vært i drift noen år, og hvor regler bare er lagt til og ingen er fjernet, kan du ha kommet opp i et stort antall du ikke lenger har oversikt over. Det siste du vil gjøre, er jo å slette en brannmurregel på måfå. La oss si du har tusen regler. Om du legger disse hundre og hundre på ti virtuelle brannmurer, har du forenklet såpass at du kan håndtere reglene bedre og plukke vekk de som ikke lenger trengs.

Les også: Svak virtuell sikkerhet

Virtualisering gir også gevinster ved at oppsett enkelt kan klones, og det gir mulighet til større fleksibilitet med håndtering av forskjellige VLAN. Om du for eksempel skal sette i gang et prosjekt innenfor HR, vil du foruten enkelt å sette opp et VLAN kunne sette opp en brannmur med samme innstillinger som du kjører på dagens HR-løsning. Og det hele kan like enkelt rigges ned når prosjektet er over.

VPN-1 Power VSX NGX R65

Det virtuelle nettverksmiljøet består av virtuelt system, virtuell ruter og virtuell svitsj. Hvert virtuelle system er en VPN-1 gateway som fungerer som uavhengig brannmur og beskytter et gitt nettverk.

En enhet – x86-basert server med minimum 9 gigabyte ledig disk og 512 megabyte minne – har kapasitet til å håndtere 250 uavhengige virtuelle sikkerhetssystemer. Det kan være brannmurer, IPsec eller klientløs VPN, innholdsfiltrering og innbruddsbeskyttelse. Totalt kan løsningen håndtere inntil 4096 VLAN.

Når det er flere virtuelle systemer på den samme fysiske maskinen, vil det enkelte virtuelle systemet håndtere sine egne policyer for sikkerhet og VPN-tilgang, grensesnitt, IP-adresser, tilstandstabeller (state tables), rutingtabell, ARP-tabell, dynamisk rutingkonfigurasjon, konfigurasjonsparametre og loggkonfigurasjoner.

Brannmuren sikrer over 200 applikasjoner og protokoller. Det er VoIP-beskyttelse for SIP, H.323, MGCP og SIP med NAT-støtte.