監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

虛擬化技術(shù)的安全:IDS/IPS實施策略

申請免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件

同時在主機(jī)和網(wǎng)絡(luò)層面進(jìn)行入侵監(jiān)測和預(yù)防,是當(dāng)今信息安全基礎(chǔ)設(shè)施建設(shè)的主要內(nèi)容。然而,隨著虛擬化技術(shù)的出現(xiàn),許多安全專家意識到,傳統(tǒng)的入侵監(jiān)測工具可能沒法融入或運(yùn)行在虛擬化的網(wǎng)絡(luò)或系統(tǒng)中,像它們在傳統(tǒng)企業(yè)網(wǎng)絡(luò)系統(tǒng)中所做的那樣。

例如,由于主要平臺廠商提供的虛擬交換機(jī)不支持建立SPAN或鏡像端口、禁止將數(shù)據(jù)流拷貝至IDS傳感器,網(wǎng)絡(luò)入侵監(jiān)測可能會變得更加困難。類似地,內(nèi)聯(lián)在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)可能也沒辦法輕易地集成到虛擬環(huán)境中,尤其是面對虛擬網(wǎng)絡(luò)內(nèi)部流量的時候?;谥鳈C(jī)的IDS系統(tǒng)也許仍能在虛擬機(jī)中正常運(yùn)行,但是會消耗共享的資源,使得安裝安全代理軟件變得不那么理想。

幸運(yùn)的是,我們有辦法調(diào)整IDS/IPS系統(tǒng)的實現(xiàn)策略,從而允許監(jiān)控虛擬系統(tǒng)的網(wǎng)絡(luò)流量。這就是本文將要講述的內(nèi)容。

對初學(xué)者來說,VMware公司的虛擬交換機(jī)允許交換機(jī)或端口組運(yùn)行在“混雜模式”,這時虛擬的IDS傳感器能夠感知在同一虛擬段上的網(wǎng)絡(luò)流量。另外,我們也可以把網(wǎng)絡(luò)流量送至物理端口,然后用物理的IDS傳感器監(jiān)測流量。目前有大量開源的或第三方虛擬交換機(jī)工具可供使用,它們能夠進(jìn)行如傳統(tǒng)交換機(jī)一樣的操作。

相較于Citrix系統(tǒng)公司的基于內(nèi)核的虛擬機(jī)(KVM)和甲骨文公司的VirtualBox平臺,Open vSwitch項目提供了虛擬交換機(jī)的完整功能,允許建立SPAN端口進(jìn)行流量鏡像和監(jiān)控。思科系統(tǒng)公司的商業(yè)產(chǎn)品Nexus 1000v交換機(jī)提供了同樣的能力,并使用廣為人知的思科IOS命令行接口。這兩種交換機(jī)都支持流數(shù)據(jù)的捕獲和分析,還可以用于在系統(tǒng)間和網(wǎng)絡(luò)間進(jìn)行行為監(jiān)控。

除了重新設(shè)計系統(tǒng)和使用功能更加全面的虛擬交換機(jī)外,安全專家還應(yīng)研究一些開源或商業(yè)的入侵檢測和預(yù)防產(chǎn)品是否有虛擬化的版本。許多知名的廠商,如Sourcefire公司、HP TippingPoint公司以及IBM ISS都將他們已有的IDS和IPS平臺移植為對應(yīng)的虛擬化設(shè)備。所有這些虛擬化設(shè)備都能容易的集成到虛擬化網(wǎng)絡(luò)中,在虛擬機(jī)之間提供流量監(jiān)測,也能在虛擬網(wǎng)絡(luò)與真實物理網(wǎng)絡(luò)之間提供流量監(jiān)測。

如今我們可以在市場上看到由Reflex系統(tǒng)有限責(zé)任公司、Catbird網(wǎng)絡(luò)公司、HyTrust公司等提供的專業(yè)虛擬化產(chǎn)品。這些公司還提供虛擬環(huán)境中基于政策的(policy-based)監(jiān)控和分析工具。雖然不是真正的基于簽名的入侵監(jiān)測,但是這些產(chǎn)品可以加強(qiáng)傳統(tǒng)的IDS/IPS系統(tǒng),允許更精確的流量監(jiān)控和訪問控制,還能分析網(wǎng)絡(luò)行為,為虛擬網(wǎng)絡(luò)提供更高的安全性。

有許多免費(fèi)產(chǎn)品可以考慮使用。你可以從VMware的虛擬設(shè)備市場(Virtual Appliance Marketplace)獲得Snort和Shadow入侵監(jiān)測系統(tǒng)。這兩個工具可接入Vmware虛擬環(huán)境中,監(jiān)控和偵測入侵企圖。值得一提的是,這一獨(dú)特能力是Vmware公司相比競爭對手而言的一項優(yōu)勢。

此外,一些基于主機(jī)的IDS和IPS產(chǎn)品也已被推出,它們經(jīng)過了測試,被證明能夠在許多虛擬環(huán)境中工作。Check Point軟件技術(shù)公司、McAfee公司以及賽門鐵克公司是支持基于主機(jī)的IDS/IPS系統(tǒng)的代表廠商,這類IDS/IPS系統(tǒng)可以在虛擬客戶系統(tǒng)中使用。另一個例子是可免費(fèi)使用的ISSEC HIDS(現(xiàn)在被趨勢科技公司擁有),它被證明能在虛擬機(jī)中使用,盡管在虛擬系統(tǒng)中的性能和穩(wěn)定性還不能夠得到保證。大多數(shù)情況下,商業(yè)的HIDS和HIPS代理都經(jīng)過了測試和修改,它們在虛擬系統(tǒng)中占用更少的資源,避免過度消耗宿主機(jī)的硬件能力。然而,基于主機(jī)的設(shè)備仍然要消耗大量的資源,且要求更加集約化的管理。為確保虛擬機(jī)資源不會在掃描或檢測活動中被過度消耗,額外的調(diào)度和控制能力也是必要的。

許多公司面臨的關(guān)鍵問題應(yīng)該是:“我們需要多大程度的監(jiān)控?”對許多公司而言,已有的基于硬件的設(shè)備足以監(jiān)控進(jìn)出虛擬網(wǎng)絡(luò)的流量。如今大多數(shù)公司都很少,如果還有的話,在特殊的網(wǎng)絡(luò)段監(jiān)控系統(tǒng)間的網(wǎng)絡(luò)活動。然而,對于那些想要或需要更高級的入侵檢測和預(yù)防系統(tǒng)的公司來說,好消息是無論是在網(wǎng)絡(luò)層面還是主機(jī)層面,我們都有許多選項可供選擇。鑒于虛擬化技術(shù)變得越來越流行,虛擬IDS和IPS技術(shù)無疑將更加普遍。

發(fā)布:2007-04-21 11:07    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
長沙OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普長沙OA軟件行業(yè)資訊其他應(yīng)用

長沙OA 長沙新聞動態(tài) 長沙OA信息化 長沙OA快博 長沙OA軟件行業(yè)資訊 長沙軟件開發(fā)公司 長沙門禁系統(tǒng) 長沙物業(yè)管理軟件 長沙倉庫管理軟件 長沙餐飲管理軟件 長沙網(wǎng)站建設(shè)公司