入侵預防系統(IPS)設備在虛擬機環境下仍然有用嗎?
原創【51CTO 4月14日外電頭條】入侵預防系統(IPS)廠商們一直覺得重新改造IPS設備、用于虛擬機環境并非易事。而現在,邁克菲和Sourcefire這兩家廠商聲稱已克服了一些障礙,至少在VMware的虛擬機方面是這樣。
邁克菲近日聲稱,網絡安全平臺版本6(之前IntruShield IPS的升級版)添加了一種方法,通過使用在虛擬機管理程序上運行的基于代理的軟件,以檢查VMware虛擬機管理程序后面的內部網絡流量。為此,邁克菲借助一項技術合作計劃,以OEM(貼牌)方式獲得了Reflex Systems公司的代理技術。
邁克菲網絡安全產品營銷的副總裁Greg Brown表示,邁克菲IPS代理軟件可透視流量,并通過一條安全通道傳送到邁克菲IPS,在硬件設備上執行評估工作。他補充說:"以前我們看不到虛擬機上的情況。"
Brown表示,在硬件設備上檢查流量被認為可以防止給虛擬機本身帶來負擔,不然就得將處理器資源專門用于IPS。邁克菲網絡安全平臺目前只能以這種方式支持基于VMware的虛擬機,但邁克菲正在為微軟和思杰的虛擬機環境也考慮采用同樣的IPS方法。
邁克菲的方法不但只用于企業,還可以用于云服務提供商,以提供IPS安全服務。而這就是為什么云服務提供商Savvis在其數據中心的VMware虛擬機上試用邁克菲基于代理的IPS方法。
Savvis的安全和虛擬化技術副總裁Ken Owens說:"我們對于傳送的流量有所限制。"面向VMware虛擬機管理程序的邁克菲代理軟件基于Reflex的技術,先初步檢查流量,然后決定哪些流量發送到邁克菲IPS設備,接受進一步的檢查。
Owens承認,結合多種技術的廠商"總是有一種顧慮",因為這會帶來諸多問題,比如長遠來看多種技術協同運行狀況如何,或者某一項技術會不會被收購。但正在Savvis接受測試的這個方法將讓這家云服務提供商可以使用邁克菲IPS,為傳統物理服務器和虛擬機服務器都能檢查流量。
Owens補充說,現在還沒有"跨平臺支持功能",以支持微軟HyperV和思杰Xen虛擬機;這是個缺點,因為Savvis在考慮添加虛擬機平臺。
Sourcefire公司也聲稱取得了進展,推出了面向VMware環境的一種入侵預防方法。
Sourcefire的高級產品經理Richard Park表示,現在Sourcefire IPS已與VMware的兩款產品: vShield App和vShield Edge集成起來。
VMware vShield App是VMware的一款可感知應用程序的防火墻,可以安裝到每個VMware vSphere主機上,以控制和監測虛擬機之間的流量。VMware vShield Edge則是一款虛擬設備,提供了防火墻功能、虛擬專用網(VPN)、Web負載均衡及其他功能,目的在于讓用戶不需要虛擬局域網。
據Park聲稱,VMware產品與Sourcefire IPS集成意味著,通過支持vShield應用編程接口(API),這款IPS能夠收到關于VMware環境中政策違反情況的信息,并采取相應措施,比如更新vShield App防火墻。
Sourcefire IPS現在能夠檢查VShield方面的政策違反情況,比如使用未授權應用程序或非標準端口,或者未經允許,擅自訪問某個關鍵主機。Sourcefire IPS能夠動態配置vShield App或vShield Edge,力求限制違反政策的活動。為了提供自動化功能,并盡量減少管理員的干預,Sourcefire IPS還能做到在一段指定的時間后,自動取消限制。
VMware的產品管理主管Dean Coza表示,vShield系列產品允許使用"位于每個主機上的分布式防火墻",能夠針對虛擬機建立"隔離區",不管通過VMware的VMotion功能把虛擬機遷移到何處,而使用物理防火墻設備將極難做到這點。
與vShield API集成意味著,像Sourcefire的IPS這類產品可以直觀地顯示出現的情況,并與VShield控制技術進行互動。目的在于允許使用客戶的IPS,以便同時支持物理服務器和VMware虛擬機環境。他表示,VMware與Sourcefire的競爭對手惠普TippingPoint在攜手開展一個類似的IPS項目。
【51CTO.com獨家譯稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】
【編輯推薦】
