虛擬IDS/IPS安全實施戰略

本文摘要：對於安全人士來說，IPS系統大家並不陌生，入侵防護系統(IPS)是被放置在傳統的物理網路區域內的，不可能輕易地融入到一個虛擬的環境中，尤其是虛擬網路流量。 一個基於主機的入侵偵測系統(IDS)在虛擬機器上仍可以正常運行，但它現在將使用其從共用工具上提取的資源，使得防禦網路不能正常安裝。

對於安全人士來說，IPS系統大家並不陌生，入侵防護系統(IPS)是被放置在傳統的物理網路區域內的，不可能輕易地融入到一個虛擬的環境中，尤其是虛擬網路流量。 一個基於主機的入侵偵測系統(IDS)在虛擬機器上仍可以正常運行，但它現在將使用其從共用工具上提取的資源，使得防禦網路不能正常安裝。

IDS/IPS安全實施戰略如下所述：

位於主機和網路層的入侵偵測系統和防禦系統是當今資訊安全的主要產品。 然而隨著虛擬技術的出現，許多網路安全專家已經意識到傳統的入侵偵測系統已經不能如以前融入到傳統的企業基礎設施中一樣融入或是在虛擬的網路或系統中工作。

例如，網路入侵偵測可能會更加困難，因為主要平臺供應商的預設虛擬交換器不允許用來建立交換埠分析器(SPAN)或鏡像埠，防止流量被覆制到入侵偵測系統(IDS)感應器。 同樣地，入侵防護系統(IPS)是被放置在傳統的物理網路區域內的，不可能輕易地融入到一個虛擬的環境中，尤其是虛擬網路流量。 一個基於主機的入侵偵測系統(IDS)在虛擬機器上仍可以正常運行，但它現在將使用其從共用工具上提取的資源，使得防禦網路不能正常安裝。

幸運的是，有很多的方法可以用來調整IDS/IPS 實施策略和監控虛擬系統流量。 這就是我們要在此提出的。 對於初學者來說，VMware公司的虛擬交換器或埠組分為「混合模式」，在這種模式下一個虛擬IDS感應器可以在相同的虛擬部件上監測到流量。 此外，流量可能會到達被物理IDS感應器監控的介面。 現在有許多有效的開放源碼和協力廠商虛擬交換器是可以用操作傳統交換器的方法來操作的。

對於思傑系統公司(Citrix Systems Inc.)，內核虛擬機器(KVMs)，和甲骨文公司(Oracle Corp.) 的VirtualBox的平臺來說，開放虛擬交換標準(Open vSwithch)提供了一個完全特定的虛擬交換器，這為流量鏡像和流量監控建立了SPAN埠。 思科系統公司(Cisco Sywtems Inc.) 的Nexus 1000V商業交換器具有相同的功能，並使用著名的思科IOS命令列介面。 這些交換器都支援流量資料獲取和分析，也可以用於系統和網路之間的形為監控。

除了重新設計他們的系統和使用更多的多功能虛擬交換器以外，網路安全專家們應該研究虛擬裝置格式化的開放源碼和商業入侵偵測及防禦辦法。 許多著名的企業，如Sourcefire Inc.，惠普TippingPoint和IBM ISS，也已經將其現有的IDS和IPS平臺轉移到一個虛擬裝置中。 這些虛擬裝置都可以很容易地融入到虛擬網路中，提供虛擬機器之間，虛擬和物理網路之間的流量監控。

如今市場上專業的虛擬產品是Reflex Systems LLC、 Catbird Networks 和HyTrust等公司的產品，這些產品在虛擬環境中提供基礎的流量監控與分析。 雖然他們並非真正命名為入侵偵測系統，但是這些產品可以增加一個更為傳統的IDS / IPS，用來進行粒狀的流量監控和存取控制以及為虛擬網路獲得更大的安全行為分析。

市場上有很多免費產品。 無論是Snort和Shadow的入侵偵測系統還是威睿(VMware)的Vmware Virtual Applicances都是免費的，都可以連接到Vmware的虛擬環境中，監控和檢測入侵企圖。 值得一提的是，正是這一獨特的能力優勢意味著VMware超過了其競爭對手。

此外，現有的一些主機IDS和IPS產品已經過測試和認證，能夠在很多的虛擬環境中工作。 Check Point軟體技術有限公司，McAfee公司和Symantec公司就是這些支援虛擬客戶系統的主機的IDS/IPS的眾多廠商中的代表。

另一代表就是OSSEC HIDS(一款開源的入侵偵測系統，現已歸Trend Micro公司所有)，它已證明了在沒有任何穩定性的虛擬系統中，仍然能夠正常工作。 通常，商業HIDS和HIPS代理程式都是經過測試和修改的，以便在虛擬系統上使用更少的資源，避免管理程式平臺超載。 然而，基於主機的設備仍然需要消耗大量的資源和集約化管理。 額外的調度和控制能力也可確保虛擬機器不會在掃描過程或監控過程中超負荷運轉。

對於許多機構來說，最關鍵的問題應該是：「我們需要多少監控?」 現有的硬體設施可以監測流量和虛擬網路，大多數的機構卻很少這樣做，如果有的話，也只是監測系統間特定的網路段。 但是，對於那些想要或者需要一個更高的入侵偵測和防禦水準的人來說，好消息就是，在網路和主機層面上也有眾多的選擇。 不管怎樣，由於虛擬化越來越普遍，毫無疑問，虛擬IDS和IPS技術也會變得越來越普遍。

虛擬IDS IPS安全實施戰略的介紹就到此為止，希望大家已經掌握和理解，我們還會繼續為大家整理相關內容和知識的。

(責任編輯：admin)