الحماية فى عالم التكنولوجيا التخيلية

************************************************

Security in virtualization Technology

تكلمنا فى مقالانا السابق عن تكنولوجيا الشبكات فى التكنولوجيا التخيلية . وتعرفنا من خلالها على اسلوب تعامل السيرفرات وانظمة التشغيل التى تعمل على سيرفرات تخيلية مع الشبكات من مكوناتها المختلفه ( (Cable – NIC – Switch – Routerوغيرها

وتعرفنا على انواع Switch’s عند شركة VMware

وكنت انتوى ان استكمل هذا الموضوع بالتعرف عن قرب على بعض الشركات التى تنتج  Switch’s  تعمل على السيرفرات التخيلية مثل شركة سيسكو

لكنى وجدت انة لن يضيف شئ كبير للغالبية لانها تحتاج الى محترفى فى هذا المجال وذو خبرة فى مجال التكنولوجيا التخيلية لذلك اجلت هذا الموضوع لمقاله قادمة ان شاء الله

وفكرت فى موضوع اخر اكثر اهمية واكثر طلبا واحتياجا للكل سواء كنت مبتدئ او خبير

وهو موضوع الحماية فى عالم التكنولوجيا التخيلية

البعض سوف يتسال ما هذا العنوان الغريب وما معناه وهل يوجد شئ اسمة الحماية للتكنولوجيا التخيلية

اجيب علية بانة كما اتفقنا فى مقالنا السابق فى الشبكات التخيلية ان السيرفرات التخيلية ينطبق عليها كل شئ مثل اذا كانت هذة السيرفرات حقيقية

فعلى سبيل المثال اى شبكة تحتاج الى Firewall والى Antivirus. وهذا ما تحتاجة ايضا السيرفرات فى التكنولوجيا التخيلية

نحتاج الى Firewall ونحتاج الى Antivirus لكنهم  الاختلاف انها سوف تكون تخيلية مثل السيرفرات ( انه عالم التكنولوجيا التخيلية)

على سبيل المثال Firewall لن يكون عبارة عن جهاز مثل السوتش يوجد فية مداخل للشبكة الداخلية والخارجية . وانما سوف يكون عبارة عن نظام تشتغيل يكون فى الاغلب لينكس وعلية تطبيق Firewall ويتم تحميلة على السيرفر الوهمى مثل VMware ESXi

ويسمى هذا الفيروول  Appliance  . وهوا يعمل مثل ال VM ومن داخلة نستطيع ان نربطة بالكروت الحقيقية الخاصة بالسيرفر الحقيقى ونربط بينة وبين ال VM ايضا ويقسمهم الى شبكات ويقوم بعمل Filters للاتصال بينهم والاتصال بالعالم الخارجى 

صورة توضح ال Firewall with VMware

اظن الموضوع اصبح شيق لكن يحتاج الى الكثير من التوضيح وفهم بعض المبادئ

اولا: لماذا نستخدم جدار نارى فى الشبكات ونحن نملك Firewall حقيقى

نجيب علية ان Firewall الخاص بالسيرفرات الوهمية يكمل Firewall الحقيقى الموجود وليس احداهما بديل عن الاخر

Firewall تخيلى الذى يعمل على السيرفرات له وظيف اخر غير وظيفة Firewall الخارجى

كلنا نعرف ان Firewall الحقيقى دورة هوا حماية الشبكات الداخلية من عمليات الهاكرز لاقتحام الشبكة وايضا تنظيم الاتصال بالانترنت وتحديد اليوزر المسموح لهم فتح الانترنت وتحديد الصلاحيات لفتح مواقع معينة وغيرها وكل نعرف هذا الاشياء وغيرها عن ادوار Firewall العادى فى اى شبكة

اما Firewall فى التكنولوجيا التخيلية له دور اخر بمعنى لو فكرنا قليلا عندنا عدة سيرفرات تعمل VMware ESXi  وبعمل على كل سيرفر عدة انظمة تشغيل وهمية VM هذه الانظمة تحتوى على تطبيقات وعلى داتا وغيرها مقدمة الى مستخدمين الشبكة

من خلال السطران السابقان نجد اننا عندنا مشكلتان فى الشبكات التخيلية:

1-      وجود اكتر من  VM تعمل على سيرفر واحد

2-      اتصال المستخدمين الموجدين فى الشبكة الداخلية بالتطبيقات والداتا الموجودة داخل ال VM

ونوضح كل مشكلة وحلها:

1-      لو فكرنا قليلا فى العالم الحقيقى يكون كل سيرفر حقيقى يحتوى على احدى التطبيقات اذن كل تطبيق يكون على سيرفر منفصل لكن فى عالم التكنولوجيا التخيلية يوجد عدة سيرفرات فى صورة VM  تعمل فى نفس الوقت على نفس السيرفر الحقيقى وهنا تظهر مشكلة فى ان كل هذا السيرفرات تتصل فيما بينهم بشكل داخل من خلال السوتش الوهمى الموجود على السيرفر ال ESX وهذا ممكن ان ياثر بالسلب على الاداء العام ونحن نريد ان نفصل بينهم ونحدد ال ports  المفتوحة للاتصال بينهم فقط .

هنا بالطبع لن يفيدنا Firewall الحقيقى فى شئ لان VM فى النهاية على نفس السيرفر ولن يستطيع ان يكون فيما بينهم مثل السيرفرات الحقيقة

لذلك ياتى دور Firewall الوهمى فى  الذى سوف يعمل فى صورة VM  بجوار السيرفرات الوهمية الاخرى

ويقوم بعملية Filter  للداتا والاتصال بين هذة ال VM ويقوم بعمل تحديد لل Port وكل شئ مثل ما هوا موجود فى Firewall الحقيقى

2-      المشكلة الثانية التى يمكن ان تواجهنا هيا اتصال المستخدمين الموجودين بالشبكة الداخلية بهذة السيرفرات الوهمية

بالطبع من اهم مبادئ الحماية فى اى شبكة هوا عمل Filter بين الداتا سنتر وبين اليوزر فى الشبكة الداخلية لعدم حدوث عمليات اختراق من الداخل ( علميا عمليات الاختراق الداخلية اكثر من الهجمات من الخارج) ونريد ان نحدد ال Port  التى تحتاجها التطبيقات التى تعمل الى السيرفرات الوهمية  لكى تعمل عند المستخدمين لكى لا يحدث Traffic or broadcast  بسبب ان كل ال ports  مفتوحة بين الداتا سنتر والمستخدمين

من خلال العمل لحل المشكلتان السابقتان يظهر لنا بوضوع اهمية Firewall فى التكنولوجيا التخيلية

فكر عمل Firewall

فكرة عمل Firewall الوهمى بسيطة للغاية وهى عبارة عن ان Firewall يعمل على الطبقة الاعلى من الطبقة التى يعمل عليها السوتش الوهمى ويكون بين السيرفرات والسوتش ومن هنا يستطيع ان filter الداتا القادمة من السيرفر الحقيقى الى السيرفرات الوهمية او بين السيرفرات الوهمية بينها البعض .

مثال على ال Roles in Firewall with VM

يوجد العديد من الشركات التى تقوم بعمل Firewall: سوف نتعرف عليها بايجاز

1-      VMware vShield   يعتبر اقوى برنامج خاص بالحماية وعمل جدار نارى بين السيرفرات  التخيلية وعمل فلترة للبرامج ايضا التى تعمل داخل السيرفرات

2-      Cisco ASA  شركة سيسكو غنية عن التعريف وقامت بعمل فيروس تخيلى لحماية السيرفرات التخيلية

3-      Juniber VGW  بالطبع نعرف وقامت فيروول ايضا

4-      Stone Gate   تقوم بعمل جدا رنارى بالاضافة ال IPS and VPN

5-      5nine  الشركة الوحيدة التى تقوم بعمل جدار نارى خاص ب Microsoft HyperV

يوجد الكثير والكثير من الشركات التى قامت بعمل جدار نارى خاص بال VM

Antivirus فى التكنولوجيا التخيلية

من منا لا يحتاج Antivirus على جهازة الشخص او السيرفرات . اذن سوف نحتاج Antivirus للسيرفرات الوهمية داخل ال VM

البعض يقول ما هى المشكلة اذن يمكننا ان نقوم بعمل اعداد Antivirus على اى سيرفر ( كلام صحيح)

لكن يوجد مشكلة تواجهنا عندنا نقوم بتطبق موضوع ال VDI ونقوم بتحويل اجهزة اليوزر الى اجهزة VM داخل السيرفرات فى الداتا سنتر الخاصة بنا

المشكلة هنا اننا لو فرضنا اننا عندنا 100 مستخدم قمنا بعمل لهم100 VM  لكى يعملوا عليها بواسطه تكنولوجيا ال VDI

(من لا يعرف ما هى VDI  يمكن مراجعه موقع  www.vmman.me  سوف يجد مقاله تشرح هذة التكنولوجيا وكورس تعليمى لها)

اذن عندنا 100 VM تعمل على  عدة سيرفرات ولو فرضنا اننا نريد ان نحمى هذة الاجهزة ونقوم بعمل Antivirus عليها لحمايتها من اى فيروسات تنتقل اليها سوف نقوم باعداد 100 نسخة Antivirus.

تصور عمل 100 Antivirus على سيرفر او اكثر ماذا سوف يحدث للاداء الخاص بالسيرفر وتصور ان البرنامج يقوم بعملية Scan عن فيروسات  سوف يتاثر جدا اداء السيرفرات بهذة Antivirus لكثره عددها مما ياثر بالسلب على اداء ال VM  التى تعمل عليها

والمشكلة هذه تسمى الى Antivirus Scan Storm

لذلك بحثوا عن حل لهذة المشكلة نحن نريد Antivirus لكن فى نفس الوقت لا نريد خسارة موارد السيرفرات فى عمليات الحماية

لذلك بداءت شركة VMware  وشركات Antivirus فى عمل حل رائع لحل هذة المشكلة

وهوا عمل Antivirus رئيسى يعمل فى صورة VM  ويعمل على السيرفر ويكون لهذا Antivirus الرئيسى Client  داخل كل VM

لكن حجمها صغير للغاية ولا تستهلك اى شئ ولا تقوم بعمل اى Scan  انما هيا تربط الاتنين ببعض فقط

الانتى فيرس الرئيس يقوم بعمل اطار حول ال VM  الموجود على السيرفرات ويراقب ويعمل Scan  لكل داتا داخلة او خارجة من هذة الVM  ويقوم بعمل Scan   لها وبذلك نكون قد منعنا اى Virus من الدخول الى اى VM  او الخروج منها لاصابة VM  اخرى

وفى نفس الوقت لم يعمل سوى برنامح Antivirus واحد فى هذة العمليه على مستوى السيرفر ووفرنا موارد السيرفر

لتطبيق ذلك على ارض الواثع نحتاج الى برنامجين وهما

1-      VMware vShield Endpoint

2-      Antivirus for VDI

يوجد عدة شركات تنتج Antivirus مخصص للتكنولجيا التخيلية  اشهرهم:

1-      Trend micro deep security  تعتبر او شركة انتجت Antivirus خصيصا لهذة التكنولوجيا

وينصح باستخدامة

2-      MacAfee move  من الشركات المعروفة ف عالم الحماية وانتجت برنامج مخصص لهذة التكنولوجيا

3-      Panda cloud  تنتج هذة الشركة برنامج صغير جدا وخيف للغاية لكى يعمل على ال VM  مباشرتا وهوا يختلف فى طريقة عملة عن  الطريقة التى شرحناها

يوجد شركات اخرى بدات فى عمل Antivirus مناسب للتكنولوجيا التخلية وكل شركة حماية تتسابق لانتاج تطبيق مناسب لذلك لكى تاخذ قطعة من السوق المتنامى بقوة

بذلك نكون قد بدائنا خطواتنا الاول لعالم الحماية فى عالم التكنولوجيا التخلية . الموضوع بالطبع لم ينتهى هنا انما هو البداية فقط لان ببساطة هذة النكنولوجيا مازالت فى بدايتها وكل يوم سوف تتغير وتتطور  فعلى كل مهتم بهذا العالم ان يتابعنا ويتابع هذا التكنولوجيا بشكل مستمر لان التطور كبير وسريع