虛擬網絡的安全策略 IDS/IPS的實施
同時在主機和網絡層面進行入侵監測和預防,是當今信息安全基礎設施建設的主要內容。然而,隨著虛擬化技術的出現,許多安全專家意識到,傳統的入侵監測工具可能沒法融入或運行在虛擬化的網絡或系統中,像它們在傳統企業網絡系統中所做的那樣。
例如,由于主要平臺廠商提供的虛擬交換機不支持建立SPAN或鏡像端口、禁止將數據流拷貝至IDS傳感器,網絡入侵監測可能會變得更加困難。類似地,內聯在傳統物理網區域中的IPS系統可能也沒辦法輕易地集成到虛擬環境中,尤其是面對虛擬網絡內部流量的時候。基于主機的IDS系統也許仍能在虛擬機中正常運行,但是會消耗共享的資源,使得安裝安全代理軟件變得不那么理想。
幸運的是,我們有辦法調整IDS/IPS系統的實現策略,從而允許監控虛擬系統的網絡流量。這就是本文將要講述的內容。
對初學者來說,VMware公司的虛擬交換機允許交換機或端口組運行在“混雜模式”,這時虛擬的IDS傳感器能夠感知在同一虛擬段上的網絡流量。另外,我們也可以把網絡流量送至物理端口,然后用物理的IDS傳感器監測流量。目前有大量開源的或第三方虛擬交換機工具可供使用,它們能夠進行如傳統交換機一樣的操作。
相較于Citrix系統公司的基于內核的虛擬機(KVM)和甲骨文公司的VirtualBox平臺,Open vSwitch項目提供了虛擬交換機的完整功能,允許建立SPAN端口進行流量鏡像和監控。思科系統公司的商業產品Nexus 1000v交換機提供了同樣的能力,并使用廣為人知的思科IOS命令行接口。這兩種交換機都支持流數據的捕獲和分析,還可以用于在系統間和網絡間進行行為監控。
除了重新設計系統和使用功能更加全面的虛擬交換機外,安全專家還應研究一些開源或商業的入侵檢測和預防產品是否有虛擬化的版本。許多知名的廠商,如Sourcefire公司、HP TippingPoint公司以及IBM ISS都將他們已有的IDS和IPS平臺移植為對應的虛擬化設備。所有這些虛擬化設備都能容易的集成到虛擬化網絡中,在虛擬機之間提供流量監測,也能在虛擬網絡與真實物理網絡之間提供流量監測。
如今我們可以在市場上看到由Reflex系統有限責任公司、Catbird網絡公司、HyTrust公司等提供的專業虛擬化產品。這些公司還提供虛擬環境中基于政策的(policy-based)監控和分析工具。雖然不是真正的基于簽名的入侵監測,但是這些產品可以加強傳統的IDS/IPS系統,允許更精確的流量監控和訪問控制,還能分析網絡行為,為虛擬網絡提供更高的安全性。
有許多免費產品可以考慮使用。你可以從VMware的虛擬設備市場(Virtual Appliance Marketplace)獲得Snort和Shadow入侵監測系統。這兩個工具可接入Vmware虛擬環境中,監控和偵測入侵企圖。值得一提的是,這一獨特能力是Vmware公司相比競爭對手而言的一項優勢。
此外,一些基于主機的IDS和IPS產品也已被推出,它們經過了測試,被證明能夠在許多虛擬環境中工作。Check Point軟件技術公司、McAfee公司以及賽門鐵克公司是支持基于主機的IDS/IPS系統的代表廠商,這類IDS/IPS系統可以在虛擬客戶系統中使用。另一個例子是可免費使用的ISSEC HIDS(現在被趨勢科技公司擁有),它被證明能在虛擬機中使用,盡管在虛擬系統中的性能和穩定性還不能夠得到保證。大多數情況下,商業的HIDS和HIPS代理都經過了測試和修改,它們在虛擬系統中占用更少的資源,避免過度消耗宿主機的硬件能力。然而,基于主機的設備仍然要消耗大量的資源,且要求更加集約化的管理。為確保虛擬機資源不會在掃描或檢測活動中被過度消耗,額外的調度和控制能力也是必要的。
許多公司面臨的關鍵問題應該是:“我們需要多大程度的監控?”對許多公司而言,已有的基于硬件的設備足以監控進出虛擬網絡的流量。如今大多數公司都很少,如果還有的話,在特殊的網絡段監控系統間的網絡活動。然而,對于那些想要或需要更高級的入侵檢測和預防系統的公司來說,好消息是無論是在網絡層面還是主機層面,我們都有許多選項可供選擇。鑒于虛擬化技術變得越來越流行,虛擬IDS和IPS技術無疑將更加普遍。
【編輯推薦】
