同时在主机和网络层面进行入侵监测和预防,是当今信息安全基础设施建设的主要内容。然而,随着虚拟化技术的出现,许多安全专家意识到,传统的入侵监测工具可能没法融入或运行在虚拟化的网络或系统中,像它们在传统企业网络系统中所做的那样。
例如,由于主要平台厂商提供的虚拟交换机不支持建立SPAN或镜像端口、禁止将数据流拷贝至IDS传感器,网络入侵监测可能会变得更加困难。类似地,内联在传统物理网区域中的IPS系统可能也没办法轻易地集成到虚拟环境中,尤其是面对虚拟网络内部流量的时候。基于主机的IDS系统也许仍能在虚拟机中正常运行,但是会消耗共享的资源,使得安装安全代理软件变得不那么理想。
幸运的是,我们有办法调整IDS/IPS系统的实现策略,从而允许监控虚拟系统的网络流量。这就是本文将要讲述的内容。
对初学者来说,VMware公司的虚拟交换机允许交换机或端口组运行在“混杂模式”,这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。另外,我们也可以把网络流量送至物理端口,然后用物理的IDS传感器监测流量。目前有大量开源的或第三方虚拟交换机工具可供使用,它们能够进行如传统交换机一样的操作。
相较于Citrix系统公司的基于内核的虚拟机(KVM)和甲骨文公司的VirtualBox平台,Open vSwitch项目提供了虚拟交换机的完整功能,允许建立SPAN端口进行流量镜像和监控。思科系统公司的商业产品Nexus 1000v交换机提供了同样的能力,并使用广为人知的思科IOS命令行接口。这两种交换机都支持流数据的捕获和分析,还可以用于在系统间和网络间进行行为监控。
除了重新设计系统和使用功能更加全面的虚拟交换机外,安全专家还应研究一些开源或商业的入侵检测和预防产品是否有虚拟化的版本。许多知名的厂商,如Sourcefire公司、HP TippingPoint公司以及IBM ISS都将他们已有的IDS和IPS平台移植为对应的虚拟化设备。所有这些虚拟化设备都能容易的集成到虚拟化网络中,在虚拟机之间提供流量监测,也能在虚拟网络与真实物理网络之间提供流量监测。
如今我们可以在市场上看到由Reflex系统有限责任公司、Catbird网络公司、HyTrust公司等提供的专业虚拟化产品。这些公司还提供虚拟环境中基于政策的(policy-based)监控和分析工具。虽然不是真正的基于签名的入侵监测,但是这些产品可以加强传统的IDS/IPS系统,允许更精确的流量监控和访问控制,还能分析网络行为,为虚拟网络提供更高的安全性。
有许多免费产品可以考虑使用。你可以从VMware的虚拟设备市场(Virtual Appliance Marketplace)获得Snort和Shadow入侵监测系统。这两个工具可接入Vmware虚拟环境中,监控和侦测入侵企图。值得一提的是,这一独特能力是Vmware公司相比竞争对手而言的一项优势。
此外,一些基于主机的IDS和IPS产品也已被推出,它们经过了测试,被证明能够在许多虚拟环境中工作。Check Point软件技术公司、McAfee公司以及赛门铁克公司是支持基于主机的IDS/IPS系统的代表厂商,这类IDS/IPS系统可以在虚拟客户系统中使用。另一个例子是可免费使用的ISSEC HIDS(现在被趋势科技公司拥有),它被证明能在虚拟机中使用,尽管在虚拟系统中的性能和稳定性还不能够得到保证。大多数情况下,商业的HIDS和HIPS代理都经过了测试和修改,它们在虚拟系统中占用更少的资源,避免过度消耗宿主机的硬件能力。然而,基于主机的设备仍然要消耗大量的资源,且要求更加集约化的管理。为确保虚拟机资源不会在扫描或检测活动中被过度消耗,额外的调度和控制能力也是必要的。
许多公司面临的关键问题应该是:“我们需要多大程度的监控?”对许多公司而言,已有的基于硬件的设备足以监控进出虚拟网络的流量。如今大多数公司都很少,如果还有的话,在特殊的网络段监控系统间的网络活动。然而,对于那些想要或需要更高级的入侵检测和预防系统的公司来说,好消息是无论是在网络层面还是主机层面,我们都有许多选项可供选择。鉴于虚拟化技术变得越来越流行,虚拟IDS和IPS技术无疑将更加普遍。
原文链接:http://netsecurity.51cto.com/art/201103/248063.htm
