StoneGate-palomuurin virtualisointi

Abstract

Opinnäytetyön pääasiallisena tavoitteena oli tutustua StoneGate-palomuuriratkaisuun ja sen virtualisointiin. Virtualisoinnin kehitys ja kasvu on tuonut esiin uusia haasteita tietoturvan saralla. Työssä kävi ilmi, että virtuaalisten ympäristöjen tietoturva on laajalti huonosti huomioitu. Työssä selvitettiin, millaisia ratkaisuja virtuaalisen tietoturvan haasteisiin on tarjolla. Yhden niistä eli Stonesoft Oyj:n StoneGate-palomuurin virtuaalisen version toimintaa tutkittiin ja testattiin sitä varten rakennetussa testiympäristössä.

Virtualisointialustat jaoteltiin työssä kahteen eri tyyppiin eli hosted- ja hypervisor-arkkitehtuureihin. Virtualisointialustoista käytiin läpi VMwaren ESX, ESXi ja Workstation, joista jälkimmäistä käytettiin testauksessa. Virtuaalisten tietoturvaratkaisujen vertailussa esiin tulivat VMwaren VMsafe-rajapinta ja perinteiset virtuaalikoneissa ajettavat tietoturvalaitteet, kuten StoneGate. VMsafen avulla tietoturvalaitteen voi integroida hypervisoriin, joka tarjoaa laitteelle kokonaisvaltaisen näkymän muun muassa virtuaalisen verkon liikenteeseen.

Suorituskyvyn ja hallinnan kannalta ylivoimainen VMsafe tulee olemaan tärkeässä asemassa virtuaalisen tietoturvan kehityksessä vaikka sitä hyödyntäviä tuotteita on vielä hyvin vähän. Testauksen perusteella StoneGate-palomuurien suorituskyky ja hallittavuus todettiin hyväksi ja tuotteesta saatiin hyviä käytännön kokemuksia. Oikeat tuotantotestit tuotteella vaatisivat silti paljon laajempaa ja pidempiaikaista testausta.

The main goal of this thesis was to get acquainted with the StoneGate virtual firewall solution. The rise of virtualization has brought forth new challenges in information security. It was found that at large, the state of information security in virtual environments is poor. One goal was to determine what kinds of solutions exist to battle the poor state of virtual security. One such solution, the StoneGate virtual firewall made by Stonesoft Corporation, was examined and tested in a virtual environment. Virtualization products were divided into two categories: products based on either hosted or hypervisor architectures. VMware products ESX, ESXi and Workstation were examined in more detail and the latter was used in the testing. Comparing virtual security solutions, two varieties came to the fore, VMware’s VMsafe and traditional solutions such as StoneGate which are ran in virtual machines. With VMsafe a security solution can be integrated into the hypervisor which offers a more comprehensive view of all virtual network traffic. VMsafe and other hypervisor based security products were found in theory to have superior performance and manageability compared to the traditional solutions. The downside is that there are still very few products that take advantage of VMsafe. The testing proved the performance and manageability of the StoneGate firewalls also to be very good. Actual production tests with the product would still have to be more thorough and extensive. Keywords