虛擬化技術(shù)的安全：IDS/IPS實施策略

申請免費(fèi)試用、咨詢電話：400-8352-114

同時在主機(jī)和網(wǎng)絡(luò)層面進(jìn)行入侵監(jiān)測和預(yù)防，是當(dāng)今信息安全基礎(chǔ)設(shè)施建設(shè)的主要內(nèi)容。然而，隨著虛擬化技術(shù)的出現(xiàn)，許多安全專家意識到，傳統(tǒng)的入侵監(jiān)測工具可能沒法融入或運(yùn)行在虛擬化的網(wǎng)絡(luò)或系統(tǒng)中，像它們在傳統(tǒng)企業(yè)網(wǎng)絡(luò)系統(tǒng)中所做的那樣。

例如，由于主要平臺廠商提供的虛擬交換機(jī)不支持建立SPAN或鏡像端口、禁止將數(shù)據(jù)流拷貝至IDS傳感器，網(wǎng)絡(luò)入侵監(jiān)測可能會變得更加困難。類似地，內(nèi)聯(lián)在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)可能也沒辦法輕易地集成到虛擬環(huán)境中，尤其是面對虛擬網(wǎng)絡(luò)內(nèi)部流量的時候?；谥鳈C(jī)的IDS系統(tǒng)也許仍能在虛擬機(jī)中正常運(yùn)行，但是會消耗共享的資源，使得安裝安全代理軟件變得不那么理想。

幸運(yùn)的是，我們有辦法調(diào)整IDS/IPS系統(tǒng)的實現(xiàn)策略，從而允許監(jiān)控虛擬系統(tǒng)的網(wǎng)絡(luò)流量。這就是本文將要講述的內(nèi)容。

對初學(xué)者來說，VMware公司的虛擬交換機(jī)允許交換機(jī)或端口組運(yùn)行在“混雜模式”，這時虛擬的IDS傳感器能夠感知在同一虛擬段上的網(wǎng)絡(luò)流量。另外，我們也可以把網(wǎng)絡(luò)流量送至物理端口，然后用物理的IDS傳感器監(jiān)測流量。目前有大量開源的或第三方虛擬交換機(jī)工具可供使用，它們能夠進(jìn)行如傳統(tǒng)交換機(jī)一樣的操作。

相較于Citrix系統(tǒng)公司的基于內(nèi)核的虛擬機(jī)(KVM)和甲骨文公司的VirtualBox平臺，Open vSwitch項目提供了虛擬交換機(jī)的完整功能，允許建立SPAN端口進(jìn)行流量鏡像和監(jiān)控。思科系統(tǒng)公司的商業(yè)產(chǎn)品Nexus 1000v交換機(jī)提供了同樣的能力，并使用廣為人知的思科IOS命令行接口。這兩種交換機(jī)都支持流數(shù)據(jù)的捕獲和分析，還可以用于在系統(tǒng)間和網(wǎng)絡(luò)間進(jìn)行行為監(jiān)控。

除了重新設(shè)計系統(tǒng)和使用功能更加全面的虛擬交換機(jī)外，安全專家還應(yīng)研究一些開源或商業(yè)的入侵檢測和預(yù)防產(chǎn)品是否有虛擬化的版本。許多知名的廠商，如Sourcefire公司、HP TippingPoint公司以及IBM ISS都將他們已有的IDS和IPS平臺移植為對應(yīng)的虛擬化設(shè)備。所有這些虛擬化設(shè)備都能容易的集成到虛擬化網(wǎng)絡(luò)中，在虛擬機(jī)之間提供流量監(jiān)測，也能在虛擬網(wǎng)絡(luò)與真實物理網(wǎng)絡(luò)之間提供流量監(jiān)測。

如今我們可以在市場上看到由Reflex系統(tǒng)有限責(zé)任公司、Catbird網(wǎng)絡(luò)公司、HyTrust公司等提供的專業(yè)虛擬化產(chǎn)品。這些公司還提供虛擬環(huán)境中基于政策的(policy-based)監(jiān)控和分析工具。雖然不是真正的基于簽名的入侵監(jiān)測，但是這些產(chǎn)品可以加強(qiáng)傳統(tǒng)的IDS/IPS系統(tǒng)，允許更精確的流量監(jiān)控和訪問控制，還能分析網(wǎng)絡(luò)行為，為虛擬網(wǎng)絡(luò)提供更高的安全性。

有許多免費(fèi)產(chǎn)品可以考慮使用。你可以從VMware的虛擬設(shè)備市場(Virtual Appliance Marketplace)獲得Snort和Shadow入侵監(jiān)測系統(tǒng)。這兩個工具可接入Vmware虛擬環(huán)境中，監(jiān)控和偵測入侵企圖。值得一提的是，這一獨(dú)特能力是Vmware公司相比競爭對手而言的一項優(yōu)勢。

此外，一些基于主機(jī)的IDS和IPS產(chǎn)品也已被推出，它們經(jīng)過了測試，被證明能夠在許多虛擬環(huán)境中工作。Check Point軟件技術(shù)公司、McAfee公司以及賽門鐵克公司是支持基于主機(jī)的IDS/IPS系統(tǒng)的代表廠商，這類IDS/IPS系統(tǒng)可以在虛擬客戶系統(tǒng)中使用。另一個例子是可免費(fèi)使用的ISSEC HIDS(現(xiàn)在被趨勢科技公司擁有)，它被證明能在虛擬機(jī)中使用，盡管在虛擬系統(tǒng)中的性能和穩(wěn)定性還不能夠得到保證。大多數(shù)情況下，商業(yè)的HIDS和HIPS代理都經(jīng)過了測試和修改，它們在虛擬系統(tǒng)中占用更少的資源，避免過度消耗宿主機(jī)的硬件能力。然而，基于主機(jī)的設(shè)備仍然要消耗大量的資源，且要求更加集約化的管理。為確保虛擬機(jī)資源不會在掃描或檢測活動中被過度消耗，額外的調(diào)度和控制能力也是必要的。

許多公司面臨的關(guān)鍵問題應(yīng)該是：“我們需要多大程度的監(jiān)控?”對許多公司而言，已有的基于硬件的設(shè)備足以監(jiān)控進(jìn)出虛擬網(wǎng)絡(luò)的流量。如今大多數(shù)公司都很少，如果還有的話，在特殊的網(wǎng)絡(luò)段監(jiān)控系統(tǒng)間的網(wǎng)絡(luò)活動。然而，對于那些想要或需要更高級的入侵檢測和預(yù)防系統(tǒng)的公司來說，好消息是無論是在網(wǎng)絡(luò)層面還是主機(jī)層面，我們都有許多選項可供選擇。鑒于虛擬化技術(shù)變得越來越流行，虛擬IDS和IPS技術(shù)無疑將更加普遍。