同时在主机和网络层面进行入侵监测和预防,是当今信息安全基础设施建设的主要内容。然而,随着虚拟化技术的出现,许多安全专家意识到,传统的入侵监测工具可能没法融入或运行在虚拟化的网络或系统中,像它们在传统企业网络系统中所做的那样。 例如,由于主要平台厂商提供的虚拟交换机不支持建立SPAN或镜像端口、禁止将数据流拷贝至IDS传感器,网络入侵监测可能会变得更加困难。类似地,内联在传统物理网区域中的IPS系统可能也没办法轻易地集成到虚拟环境中,尤其是面对虚拟网络内部流量的时候。
基于主机的IDS系统也许仍能在虚拟机中正常运行,但是会消耗共享的资源,使得安装安全代理软件变得不那么理想。 幸运的是,我们……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
同时在主机和网络层面进行入侵监测和预防,是当今信息安全基础设施建设的主要内容。然而,随着虚拟化技术的出现,许多安全专家意识到,传统的入侵监测工具可能没法融入或运行在虚拟化的网络或系统中,像它们在传统企业网络系统中所做的那样。
例如,由于主要平台厂商提供的虚拟交换机不支持建立SPAN或镜像端口、禁止将数据流拷贝至IDS传感器,网络入侵监测可能会变得更加困难。类似地,内联在传统物理网区域中的IPS系统可能也没办法轻易地集成到虚拟环境中,尤其是面对虚拟网络内部流量的时候。基于主机的IDS系统也许仍能在虚拟机中正常运行,但是会消耗共享的资源,使得安装安全代理软件变得不那么理想。
幸运的是,我们有办法调整IDS/IPS系统的实现策略,从而允许监控虚拟系统的网络流量。这就是本文将要讲述的内容。
对初学者来说,VMware公司的虚拟交换机允许交换机或端口组运行在“混杂模式”,这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。另外,我们也可以把网络流量送至物理端口,然后用物理的IDS传感器监测流量。目前有大量开源的或第三方虚拟交换机工具可供使用,它们能够进行如传统交换机一样的操作。
相较于Citrix系统公司的基于内核的虚拟机(KVM)和甲骨文公司的VirtualBox平台,Open vSwitch项目提供了虚拟交换机的完整功能,允许建立SPAN端口进行流量镜像和监控。思科系统公司的商业产品Nexus 1000v交换机提供了同样的能力,并使用广为人知的思科IOS命令行接口。这两种交换机都支持流数据的捕获和分析,还可以用于在系统间和网络间进行行为监控。
除了重新设计系统和使用功能更加全面的虚拟交换机外,安全专家还应研究一些开源或商业的入侵检测和预防产品是否有虚拟化的版本。许多知名的厂商,如Sourcefire公司、HP TippingPoint公司以及IBM ISS都将他们已有的IDS和IPS平台移植为对应的虚拟化设备。所有这些虚拟化设备都能容易的集成到虚拟化网络中,在虚拟机之间提供流量监测,也能在虚拟网络与真实物理网络之间提供流量监测。
如今我们可以在市场上看到由Reflex系统有限责任公司、Catbird网络公司、HyTrust公司等提供的专业虚拟化产品。这些公司还提供虚拟环境中基于政策的(policy-based)监控和分析工具。虽然不是真正的基于签名的入侵监测,但是这些产品可以加强传统的IDS/IPS系统,允许更精确的流量监控和访问控制,还能分析网络行为,为虚拟网络提供更高的安全性。
有许多免费产品可以考虑使用。你可以从VMware的虚拟设备市场(Virtual Appliance Marketplace)获得Snort和Shadow入侵监测系统。这两个工具可接入Vmware虚拟环境中,监控和侦测入侵企图。值得一提的是,这一独特能力是Vmware公司相比竞争对手而言的一项优势。
此外,一些基于主机的IDS和IPS产品也已被推出,它们经过了测试,被证明能够在许多虚拟环境中工作。Check Point软件技术公司、McAfee公司以及赛门铁克公司是支持基于主机的IDS/IPS系统的代表厂商,这类IDS/IPS系统可以在虚拟客户系统中使用。另一个例子是可免费使用的ISSEC HIDS(现在被趋势科技公司拥有),它被证明能在虚拟机中使用,尽管在虚拟系统中的性能和稳定性还不能够得到保证。大多数情况下,商业的HIDS和HIPS代理都经过了测试和修改,它们在虚拟系统中占用更少的资源,避免过度消耗宿主机的硬件能力。然而,基于主机的设备仍然要消耗大量的资源,且要求更加集约化的管理。为确保虚拟机资源不会在扫描或检测活动中被过度消耗,额外的调度和控制能力也是必要的。
许多公司面临的关键问题应该是:“我们需要多大程度的监控?”对许多公司而言,已有的基于硬件的设备足以监控进出虚拟网络的流量。如今大多数公司都很少,如果还有的话,在特殊的网络段监控系统间的网络活动。然而,对于那些想要或需要更高级的入侵检测和预防系统的公司来说,好消息是无论是在网络层面还是主机层面,我们都有许多选项可供选择。鉴于虚拟化技术变得越来越流行,虚拟IDS和IPS技术无疑将更加普遍。
作者
Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。
翻译
相关推荐
-
网络入侵防御系统全解
现在有很多网络入侵防御系统产品,它们主要有三种形式,而本文重点介绍的作为专用硬件和软件产品的IPS,这种IPS直接部署到企业的网络,以及虚拟设备以部署到服务器内虚拟网络。
-
汇总:虚拟环境下的网络安全模式
企业考虑虚拟环境中企业网络安全时,或者使用虚拟化来提供安全服务时,可以选择物理设备模式、虚拟设备模式或者组合模式。
-
绿盟科技四款产品入围电信集采
在2014年中国电信集团的集采中,绿盟科技4款产品:ADS、IPS、FW、WAF均表现优异,全部入围!这是中国电信集团对绿盟科技产品的认可,也证实了绿盟科技在安全行业领军者的地位。
-
当数据中心越来越虚拟化时 保护工作该怎么做?(下)
随着企业越来越多地投资于虚拟化技术,安全专业人士都在试图管理这种环境下的安全性。然而现实是:虚拟环境内的安全性并没有达到传统物理网络和系统的标准……