A vSRX bemutatása
Az egyre terjedő virtualizációs igények kihívásaira történő válaszként a Juniper virtuális tűzfallal bővítette az SRX Services Gateways termékcsaládját. A vSRX teljes és integrált biztonsági megoldást nyújt szolgáltatóknak és nagyvállalatoknak egyaránt.
A vSRX automatizált konfigurációs képességei lehetővé teszik a cégek számára, hogy a tűzfalvédelmük rugalmas és teljes testre szabásával meg tudjanak felelni a virtualizált és felhőalapú környezetek dinamikus elvárásainak. Továbbá a rendszergazdák a vSRX és a Junos Space Security Director kombinálásával egységes, központosított platformon tudnak nagymértékben javítani a szabálykonfiguráción, -kezelésen és -láthatóságon, mind a fizikai, mind a virtuális eszközök tekintetében.
Az ICSA Labs tesztelési és tanúsítási folyamata
Az ICSA Labs saját tesztelési követelményrendszert és iparági szabványt dolgozott ki a tűzfalakra, amelyet az egész iparág elismer. Egy tűzfal biztonsági tesztje után az adott termék a szerződés ideje alatt folyamatosan üzemben marad a laborban, annak érdekében, hogy észlelni lehessen a felmerülő támadásokat és a tűzfal védelmi reakcióját. Ahhoz, hogy az adott tűzfal megtarthassa az ICSA Labs tanúsítványát, képesnek kell lennie elhárítani ezeket a támadásokat.
A vSRX tesztelési eredményei
Az ICSA Labs a saját környezetében telepítette a vSRX Virtual Firewall-t. A tesztelés a 19.2R1.8. szoftververzióval kezdődött, és eredményesen ért véget a 19.4R1.10. verzióval. A követelmények teljesítése érdekében a Juniper Networks átadta a telepítéshez, konfigurációhoz és működtetéshez szükséges dokumentációt. Az ICSA Labs ezen dokumentáció alapján üzemelte be a terméket, ám a tesztelési folyamat előkészületeiben, a tűzfal esetleges sebezhetőségének feltárása érdekében egyedi policy beállításokat és konfigurációkat is végzett a bejövő és kimenő adatforgalomra egyaránt.
A tűzfaltermékek esetében minimális elvárás, hogy megfeleljenek az ICSA Labs által elvárt biztonsági szolgáltatási szabályoknak (ún. RSSP-nek). A tesztelés alkalmával kiderült, hogy a vSRX megfelelően kezelte az engedélyezett kimenő és bejövő kéréseket, miközben egyik irányban sem ment át rajta az RSSP-t megszegő adatforgalom.
Azoknak a tűzfalaknak, amelyeket nagyvállalati és kormányzati környezetbe szánnak, rendkívül kiterjedt naplózási képességekkel kell rendelkezniük. Ezért az ICSA Labs is nagy hangsúlyt fektetett arra, hogy kiderüljön a vSRX hogyan teljesít ezen a területen. A terméknek regisztrálnia kell többek között minden engedélyezett és megtagadott forgalmat, rendszerindítást, szabályváltozást és bejelentkezési kísérletet. Az ICSA Labs úgy állította be a vSRX tűzfalat, hogy az lokálisan is és egy syslog szerveren is tárolja a bejegyzéseket. A Juniper virtuális tűzfalának sikerült eleget tennie az ICSA Labs minden naplózási követelményének.
A termék adminisztrációjához szükség van előzetes autentikációra. Az ICSA számára nem csak az fontos, hogy az autentikációt ne lehessen megkerülni, hanem az is, hogy a távoli adminisztrációs forgalom titkosítva legyen. A vSRX mindezeknek az adminisztrációs követelményeknek eleget tett a tesztelés során.
Az állandóság tekintetében az áramkimaradások nem okozhatnak adatvesztést a tűzfalban, például nem érinthetik a távoli adminisztrációs beállításokat, a biztonsági szabályrendszer konfigurációját, és például a naplózási és autentikációs adatokat sem. Az ICSA Labs kényszerített áramlekapcsolásai után a vSRX nem mutatott semmilyen adatvesztést, sem működési kiesést, tehát megfelelt minden állandósági elvárásnak.
Egy tűzfaltermék dokumentációjának pontosnak, részletesnek és érvényesnek kell lennie, illetve ki kell terjednie a telepítésre, konfigurációra és adminisztrációra. Az ICSA Labs e tekintetben is megfelelőnek találta a Juniper virtuális tűzfalát.
Miután a laborban egy tűzfalat egy biztonsági szabályrendszer alkalmazására konfigurálnak, a policy által engedélyezett szolgáltatásoknak megfelelően kell működniük. A terméknek meg kell állítania minden jól ismert, potenciálisan ártalmas viselkedést, amelyek egyes hálózati protokollokban találhatók, ugyanakkor változatlanul fenn kell tartania a megfelelőséget a vonatkozó hálózati protokollal. A funkcionális és biztonsági teszteléshez az ICSA Labs többféle tesztelési eszközzel támadta a vSRX tűzfalat, hogy megkísérelje legyőzni vagy megkerülni a tűzfal alkalmazott biztonsági szabályrendszerét. Bár eleinte a termék nem tett eleget minden funkcionális és biztonsági követelménynek, a Juniper reagált az ICSA felvetéseire, javított a terméken, amelyet ezután új tesztelésnek vetettek alá. A vSRX ekkor már ellenállt a kimenő és bejövő támadásoknak, beleértve a terheléses és fragmentációs próbákat is. Ráadásul a legitim adatforgalom áthaladását a tűzfal továbbra is engedélyezte.
Végeredmény
Mivel a vSRX Virtual Firewall átment az ICSA Labs valamennyi biztonsági ellenőrzésén és a termék eleget tett az ICSA miden tanúsítási követelményének, a Juniper Networks terméke megszerezte az ICSA Labs Vállalati tűzfal tanúsítványát.