入侵防御
系统(IPS)是放置在传统的物理
网络,并不能很容易地集成到一个虚拟的环境,特别是虚拟的网络流量。一个基于主机的入侵
检测系统(IDS)仍然可以
运行的虚拟机,但现在它将利用其资源共享
工具提取,使防御网络不能
正确安装。
IDS安全性实现
策略描述如下:
入侵检测系统和防御系统位于主机和网络层的信息安全领域的主要产品。然而,随着虚拟技术的出现,许多网络安全专家已经意识到传统的入侵检测系统无法整合到传统的企业基础设施或在虚拟的网络或系统
工作。
例如,网络入侵检测可能更难,因为主要的平台提供商的
默认虚拟交换机不允许建立一个交换端口分析器(跨度)或
镜像端口,使交通得以
复制到入侵检测系统(IDS)传感器。同样,入侵防御系统(IPS)放在传统的物理网络,并不能很容易地集成到一个虚拟的环境,特别是虚拟的网络流量。一个基于主机的入侵检测系统(IDS)仍然可以运行的虚拟机,但现在它将利用其资源共享工具提取,使防御网络不能正确安装。
幸运的是,有很多
方法来
调整IDS / IPS的实施策略和监控虚拟系统的交通。这是我们在这里提出。对初学者来说,VMware的虚拟交换机或端口
组件是混合
模式;在这种模式下,虚拟IDS传感器可以监控流量在同一个虚拟组件此外,交通可达,是由物理IDS传感器监控
界面。有许多有效的开放源代码和第三方虚拟交换机可以通过操纵传统的开关
操作。
思杰系统(Citrix Systems Inc.),内核虚拟机(KVMs),甲骨文
公司(Oracle Corp.)VirtualBox平台,打开虚拟交换标准(开放vswithch)提供了一个虚拟交换机完全具体的,这就像是一面镜子,流量监控是基于端口建立的Nexus 1000V的业务切换。思科系统(Cisco sywtems Inc.)具有相同的
功能和使用著名的Cisco IOS
命令行接口。这些交换机
支持交通数据采集与分析,也可以用来监视系统和网络之间的形式。
除了重新设计他们的系统和使用更多的虚拟交换机,网络安全专家应该研究虚拟设备格式
开源和商业化的入侵检测和防御方法。许多著名的企业,如Sourcefire公司,惠普TippingPoint和IBM ISS,也将他们的现有的IDS和IPS平台虚拟设备。这些虚拟设备很容易地集成到虚拟网络,提供虚拟机之间的流量监控,虚拟网络和物理网络。
如今,专业的虚拟产品在市场上有反射系统公司产品,Catbird网络和HyTrust。这些产品在虚拟环境中提供基本的流量监控和分析,虽然它们并不是真正的入侵检测系统,但这些产品可以在流量监控和访问
控制中加入更为传统的IDS,并为虚拟网络提供更多的安全行为分析。
市场上有很多免费的产品。两Snort入侵检测系统和阴影(VMware)或通过VMware虚拟设备是免费的,可以
连接到VMware的虚拟环境,监测和检测入侵企图。
值得一提的是,正是这种独特的能力,这意味着VMware的优势超过其竞争对手。
此外,现有的一些主机ID和IPS产品已经经过测试和认证,可以在许多虚拟环境中工作,而Point Point软件技术有限公司、McAfee和赛门铁克则是支持虚拟客户端系统的许多IDS制造商的代表。
另一个代表是OSSEC HIDS(一个开源的入侵检测系统,通过趋势科技公司目前拥有)。实践证明,在任何虚拟系统的不稳定性,它仍然可以正常工作。一般来说,商业HIDS和臀部剂进行改性,更少的资源可用于虚拟系统避免
管理平台超载。然而,基于设备仍然需要消耗大量的资源和额外的集约管理主机。调度和控制能力,同时确保虚拟机没有扫描过程或监测过程中超过负荷运行。
对于许多组织来说,最关键的问题应该是:我们需要多少监控现有的
硬件设施可以监控流量和虚拟网络;大多数机构很少,如果有的话,也只是一个特定的网络段之间的监控系统,但对那些想要或需要一个高层次的入侵检测和防御,也有好
消息,也有在网络和主机级的许多
选项。无论如何,因为虚拟化越来越普遍,毫无疑问,虚拟IDS和IPS技术将越来越普遍。
引入虚拟IDS IPS安全实现策略已经结束。我希望你已经领会并理解了它。我们将继续为您整理相关的内容和知识。