VMware намерена использовать шифрование для защиты виртуализации

Компания VMware работает над новой технологией шифрования с целью повышения безопасности виртуальных сетей и запускаемых в них приложений. Хотя шифрование применяется в различных формах на протяжении длительного времени, VMware нацеливается на боле широкое его использование в ЦОДах.

Облегчить осмысленное шифрование — непростая задача, сказал старший вице-президент и главный менеджер подразделения VMware Networking and Security Мартин Касадо. Одна из главных проблем связана с управлением распределением ключей.

Виртуализация сетей способна облегчить повсеместное использование шифрования, поскольку она уже представляет собой платформу распределения и управляет всем распределенным при его перемещении в вычислительной среде, пояснил Касадо. Виртуализация сетей — та несущая конструкция, которую могут использовать средства защиты в рамках подхода, который VMware именует распределенным шифрованием сети (Distributed Network Encryption, DNE), продолжал он.

«Благодаря DNE шифрование просто становится собственным атрибутом приложения, — заявил Касадо корреспонденту eWeek. — Вы запускаете приложение, устанавливаете флажок, чтобы шифровались все пакеты приложения, и вам не нужно беспокоиться по поводу традиционных проблем с шифрованием, которые замедляли его распространение».

В настоящее время DNE находится на раннем этапе разработки, хотя у Касадо есть несколько серьезных соображений по поводу того, как и где этот подход найдет применение в существующих сетях. Технология виртуализации сетей VMware NSX создает виртуальные сети посредством вызова API-интерфейса. Основная идея DNE заключается в том, что в момент обращения к NSX через API-интерфейс в обращение включается соответствующий атрибут, гарантирующий шифрование пакетов.

«В дальнейшем NSX позаботится об управлении ключами и настройке безопасности, — сказал Касадо. — После этого все оконечные точки туннеля виртуальной сети, работающие под управлением гипервизоров, будут зашифровывать и расшифровывать пакеты».

Обычным видом шифрования в Интернете является протокол Secure Sockets Layer/Transport Layer Security (SSL/TLS), который Касадо считает не вполне достаточным для трафика приложений в виртуализированных ЦОДах. В рамках DNE вся работа приложения шифруется, когда пакеты движутся по сети, пояснил он.

При использовании SSL/TLS возникает дополнительная сложность с аутентификацией и проверкой целостности конкретного соединения. Общим способом поддержания целостности SSL/TLS является привлечение сертификационных центров. Но здесь есть свои трудности, сказал Касадо. В случае с DNE проблема аутентификации несколько смягчается при условии, что данный подход применяется в ЦОДе.

«В ЦОДе мы знаем все оконечные точки, поэтому нам не приходится полагаться на публичные сертификационные центры», — сказал Касадо.

Тем не менее, в мире DNE, который создает сейчас VMware, определенная роль отводится и SSL/TLS. Касадо пояснил, что DNE представляет собой технологию уровня инфраструктуры. Поэтому, например, в виртуальной сети имеются виртуальные коммутатор и маршрутизатор, и при использовании DNE будут шифроваться все пересылаемые между ними пакеты.

«Таким образом, имеется некая инфраструктура, но она ничего не делает на расположенном выше нее уровне приложений, — сказал Касадо. — Думаю, необходимо защитить каждый уровень».

В настоящее время VMware активно разрабатывает DNE, создает программный код. Пока не ясно, когда эта технология станет общедоступной.

«Это нечто, во что мы в данный момент вкладываем материальные ресурсы, проводя исследования и разработки», — сказал Касадо.