虛擬化技術(shù)的安全：IDS/IPS實(shí)施策略

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

同時(shí)在主機(jī)和網(wǎng)絡(luò)層面進(jìn)行入侵監(jiān)測(cè)和預(yù)防，是當(dāng)今信息安全基礎(chǔ)設(shè)施建設(shè)的主要內(nèi)容。然而，隨著虛擬化技術(shù)的出現(xiàn)，許多安全專家意識(shí)到，傳統(tǒng)的入侵監(jiān)測(cè)工具可能沒法融入或運(yùn)行在虛擬化的網(wǎng)絡(luò)或系統(tǒng)中，像它們?cè)趥鹘y(tǒng)企業(yè)網(wǎng)絡(luò)系統(tǒng)中所做的那樣。

例如，由于主要平臺(tái)廠商提供的虛擬交換機(jī)不支持建立SPAN或鏡像端口、禁止將數(shù)據(jù)流拷貝至IDS傳感器，網(wǎng)絡(luò)入侵監(jiān)測(cè)可能會(huì)變得更加困難。類似地，內(nèi)聯(lián)在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)可能也沒辦法輕易地集成到虛擬環(huán)境中，尤其是面對(duì)虛擬網(wǎng)絡(luò)內(nèi)部流量的時(shí)候?；谥鳈C(jī)的IDS系統(tǒng)也許仍能在虛擬機(jī)中正常運(yùn)行，但是會(huì)消耗共享的資源，使得安裝安全代理軟件變得不那么理想。

幸運(yùn)的是，我們有辦法調(diào)整IDS/IPS系統(tǒng)的實(shí)現(xiàn)策略，從而允許監(jiān)控虛擬系統(tǒng)的網(wǎng)絡(luò)流量。這就是本文將要講述的內(nèi)容。

對(duì)初學(xué)者來說，VMware公司的虛擬交換機(jī)允許交換機(jī)或端口組運(yùn)行在“混雜模式”，這時(shí)虛擬的IDS傳感器能夠感知在同一虛擬段上的網(wǎng)絡(luò)流量。另外，我們也可以把網(wǎng)絡(luò)流量送至物理端口，然后用物理的IDS傳感器監(jiān)測(cè)流量。目前有大量開源的或第三方虛擬交換機(jī)工具可供使用，它們能夠進(jìn)行如傳統(tǒng)交換機(jī)一樣的操作。

相較于Citrix系統(tǒng)公司的基于內(nèi)核的虛擬機(jī)(KVM)和甲骨文公司的VirtualBox平臺(tái)，Open vSwitch項(xiàng)目提供了虛擬交換機(jī)的完整功能，允許建立SPAN端口進(jìn)行流量鏡像和監(jiān)控。思科系統(tǒng)公司的商業(yè)產(chǎn)品Nexus 1000v交換機(jī)提供了同樣的能力，并使用廣為人知的思科IOS命令行接口。這兩種交換機(jī)都支持流數(shù)據(jù)的捕獲和分析，還可以用于在系統(tǒng)間和網(wǎng)絡(luò)間進(jìn)行行為監(jiān)控。

除了重新設(shè)計(jì)系統(tǒng)和使用功能更加全面的虛擬交換機(jī)外，安全專家還應(yīng)研究一些開源或商業(yè)的入侵檢測(cè)和預(yù)防產(chǎn)品是否有虛擬化的版本。許多知名的廠商，如Sourcefire公司、HP TippingPoint公司以及IBM ISS都將他們已有的IDS和IPS平臺(tái)移植為對(duì)應(yīng)的虛擬化設(shè)備。所有這些虛擬化設(shè)備都能容易的集成到虛擬化網(wǎng)絡(luò)中，在虛擬機(jī)之間提供流量監(jiān)測(cè)，也能在虛擬網(wǎng)絡(luò)與真實(shí)物理網(wǎng)絡(luò)之間提供流量監(jiān)測(cè)。

如今我們可以在市場(chǎng)上看到由Reflex系統(tǒng)有限責(zé)任公司、Catbird網(wǎng)絡(luò)公司、HyTrust公司等提供的專業(yè)虛擬化產(chǎn)品。這些公司還提供虛擬環(huán)境中基于政策的(policy-based)監(jiān)控和分析工具。雖然不是真正的基于簽名的入侵監(jiān)測(cè)，但是這些產(chǎn)品可以加強(qiáng)傳統(tǒng)的IDS/IPS系統(tǒng)，允許更精確的流量監(jiān)控和訪問控制，還能分析網(wǎng)絡(luò)行為，為虛擬網(wǎng)絡(luò)提供更高的安全性。

有許多免費(fèi)產(chǎn)品可以考慮使用。你可以從VMware的虛擬設(shè)備市場(chǎng)(Virtual Appliance Marketplace)獲得Snort和Shadow入侵監(jiān)測(cè)系統(tǒng)。這兩個(gè)工具可接入Vmware虛擬環(huán)境中，監(jiān)控和偵測(cè)入侵企圖。值得一提的是，這一獨(dú)特能力是Vmware公司相比競(jìng)爭(zhēng)對(duì)手而言的一項(xiàng)優(yōu)勢(shì)。

此外，一些基于主機(jī)的IDS和IPS產(chǎn)品也已被推出，它們經(jīng)過了測(cè)試，被證明能夠在許多虛擬環(huán)境中工作。Check Point軟件技術(shù)公司、McAfee公司以及賽門鐵克公司是支持基于主機(jī)的IDS/IPS系統(tǒng)的代表廠商，這類IDS/IPS系統(tǒng)可以在虛擬客戶系統(tǒng)中使用。另一個(gè)例子是可免費(fèi)使用的ISSEC HIDS(現(xiàn)在被趨勢(shì)科技公司擁有)，它被證明能在虛擬機(jī)中使用，盡管在虛擬系統(tǒng)中的性能和穩(wěn)定性還不能夠得到保證。大多數(shù)情況下，商業(yè)的HIDS和HIPS代理都經(jīng)過了測(cè)試和修改，它們?cè)谔摂M系統(tǒng)中占用更少的資源，避免過度消耗宿主機(jī)的硬件能力。然而，基于主機(jī)的設(shè)備仍然要消耗大量的資源，且要求更加集約化的管理。為確保虛擬機(jī)資源不會(huì)在掃描或檢測(cè)活動(dòng)中被過度消耗，額外的調(diào)度和控制能力也是必要的。

許多公司面臨的關(guān)鍵問題應(yīng)該是：“我們需要多大程度的監(jiān)控?”對(duì)許多公司而言，已有的基于硬件的設(shè)備足以監(jiān)控進(jìn)出虛擬網(wǎng)絡(luò)的流量。如今大多數(shù)公司都很少，如果還有的話，在特殊的網(wǎng)絡(luò)段監(jiān)控系統(tǒng)間的網(wǎng)絡(luò)活動(dòng)。然而，對(duì)于那些想要或需要更高級(jí)的入侵檢測(cè)和預(yù)防系統(tǒng)的公司來說，好消息是無論是在網(wǎng)絡(luò)層面還是主機(jī)層面，我們都有許多選項(xiàng)可供選擇。鑒于虛擬化技術(shù)變得越來越流行，虛擬IDS和IPS技術(shù)無疑將更加普遍。