虚拟IDS和IPS技术的安全实施方略

IDS/IPS安全实施战略如下所述:

位于主机和网络层的入侵检测系统和防御系统是当今信息安全的主要产品。然而随着虚拟技术的出现,许多网络安全专家已经意识到传统的入侵检测系统已经不能如以前融入到传统的企业基础设施中一样融入或是在虚拟的网络或系统中工作。

例如,网络入侵检测可能会更加困难,因为主要平台供应商的默认虚拟交换机不允许用来建立交换端口分析器(SPAN)或镜像端口,防止流量被复制到入侵检测系统(IDS)传感器。同样地,入侵防护系统(IPS)是被放置在传统的物理网络区域内的,不可能轻易地融入到一个虚拟的环境中,尤其是虚拟网络流量。一个基于主机的入侵检测系统(IDS)在虚拟机上仍可以正常运行,但它现在将使用其从共享工具上提取的资源,使得防御网络不能正常安装。

幸运的是,有很多的方法可以用来调整IDS/IPS 实施策略和监控虚拟系统流量。这就是我们要在此提出的。对于初学者来说,VMware公司的虚拟交换机或端口组分为“混合模式”,在这种模式下一个虚拟IDS传感器可以在相同的虚拟部件上监测到流量。此外,流量可能会到达被物理IDS传感器监控的接口。现在有许多有效的开放源码和第三方虚拟交换机是可以用操作传统交换机的方法来操作的。

对于思杰系统公司(Citrix Systems Inc.),内核虚拟机(KVMs),和甲骨文公司(Oracle Corp.)的VirtualBox的平台来说,开放虚拟交换标准(Open vSwithch)提供了一个完全特定的虚拟交换机,这为流量镜像和流量监控建立了SPAN端口。思科系统公司(Cisco Sywtems Inc.)的Nexus 1000V商业交换机具有相同的功能,并使用着名的思科IOS命令行界面。这些交换机都支持流量数据采集和分析,也可以用于系统和网络之间的形为监控。

除了重新设计他们的系统和使用更多的多功能虚拟交换机以外,网络安全专家们应该研究虚拟设备格式化的开放源码和商业入侵检测及防御办法。许多着名的企业,如Sourcefire Inc.,惠普TippingPoint和IBM ISS,也已经将其现有的IDS和IPS平台转移到一个虚拟设备中。这些虚拟设备都可以很容易地融入到虚拟网络中,提供虚拟机之间,虚拟和物理网络之间的流量监控。

如今市场上专业的虚拟产品是Reflex Systems LLC、 Catbird Networks 和HyTrust等公司的产品,这些产品在虚拟环境中提供基础的流量监控与分析。虽然他们并非真正命名为入侵检测系统,但是这些产品可以增加一个更为传统的IDS / IPS,用来进行粒状的流量监控和访问控制以及为虚拟网络获得更大的安全行为分析。

市场上有很多免费产品。无论是Snort和Shadow的入侵检测系统还是威睿(VMware)的Vmware Virtual Applicances都是免费的,都可以连接到Vmware的虚拟环境中,监控和检测入侵企图。值得一提的是,正是这一独特的能力优势意味着VMware超过了其竞争对手。

此外,现有的一些主机IDS和IPS产品已经过测试和认证,能够在很多的虚拟环境中工作。 Check Point软件技术有限公司,McAfee公司和Symantec公司就是这些支持虚拟客户系统的主机的IDS/IPS的众多厂商中的代表。

另一代表就是OSSEC HIDS(一款开源的入侵检测系统,现已归Trend Micro公司所有),它已证明了在没有任何稳定性的虚拟系统中,仍然能够正常工作。通常,商业HIDS和HIPS代理程序都是经过测试和修改的,以便在虚拟系统上使用更少的资源,避免管理程序平台超载。然而,基于主机的设备仍然需要消耗大量的资源和集约化管理。额外的调度和控制能力也可确保虚拟机不会在扫描过程或监控过程中超负荷运转。

对于许多机构来说,最关键的问题应该是:“我们需要多少监控?”现有的硬件设施可以监测流量和虚拟网络,大多数的机构却很少这样做,如果有的话,也只是监测系统间特定的网络段。但是,对于那些想要或者需要一个更高的入侵检测和防御水平的人来说,好消息就是,在网络和主机层面上也有众多的选择。不管怎样,由于虚拟化越来越普遍,毫无疑问,虚拟IDS和IPS技术也会变得越来越普遍。