入侵预防系统设备在虚拟机环境下仍然有用吗?

日期: 2011-04-13 来源:TechTarget中国 英文

  入侵预防系统(IPS)厂商们一直觉得重新改造IPS设备、用于虚拟机环境并非易事。而现在,迈克菲和Sourcefire这两家厂商声称已克服了一些障碍,至少在VMware的虚拟机方面是这样。

  迈克菲近日声称,网络安全平台版本6(之前IntruShield IPS的升级版)添加了一种方法,通过使用在虚拟机管理程序上运行的基于代理的软件,以检查VMware虚拟机管理程序后面的内部网络流量。为此,迈克菲借助一项技术合作计划,以OEM(贴牌)方式获得了Reflex Systems公司的代理技术。

  迈克菲网络安全产品营销的副总裁Greg Brown表示,迈克菲IPS代理软件可透视流量,并通过一条安全通道传送到迈克菲IPS,在硬件设备上执行评估工作。他补充说:”以前我们看不到虚拟机上的情况。”

  Brown表示,在硬件设备上检查流量被认为可以防止给虚拟机本身带来负担,不然就得将处理器资源专门用于IPS。迈克菲网络安全平台目前只能以这种方式支持基于VMware的虚拟机,但迈克菲正在为微软和思杰的虚拟机环境也考虑采用同样的IPS方法。

  迈克菲的方法不但只用于企业,还可以用于云服务提供商,以提供IPS安全服务。而这就是为什么云服务提供商Savvis在其数据中心的VMware虚拟机上试用迈克菲基于代理的IPS方法。

  Savvis的安全和虚拟化技术副总裁Ken Owens说:”我们对于传送的流量有所限制。”面向VMware虚拟机管理程序的迈克菲代理软件基于Reflex的技术,先初步检查流量,然后决定哪些流量发送到迈克菲IPS设备,接受进一步的检查。

  Owens承认,结合多种技术的厂商”总是有一种顾虑”,因为这会带来诸多问题,比如长远来看多种技术协同运行状况如何,或者某一项技术会不会被收购。但正在Savvis接受测试的这个方法将让这家云服务提供商可以使用迈克菲IPS,为传统物理服务器和虚拟机服务器都能检查流量。

  Owens补充说,现在还没有”跨平台支持功能”,以支持微软HyperV和思杰Xen虚拟机;这是个缺点,因为Savvis在考虑添加虚拟机平台。

  Sourcefire公司也声称取得了进展,推出了面向VMware环境的一种入侵预防方法。

  Sourcefire的高级产品经理Richard Park表示,现在Sourcefire IPS已与VMware的两款产品: vShield App和vShield Edge集成起来。

  VMware vShield App是VMware的一款可感知应用程序的防火墙,可以安装到每个VMware vSphere主机上,以控制和监测虚拟机之间的流量。VMware vShield Edge则是一款虚拟设备,提供了防火墙功能、虚拟专用网(VPN)、Web负载均衡及其他功能,目的在于让用户不需要虚拟局域网。

  据Park声称,VMware产品与Sourcefire IPS集成意味着,通过支持vShield应用编程接口(API),这款IPS能够收到关于VMware环境中政策违反情况的信息,并采取相应措施,比如更新vShield App防火墙。

  Sourcefire IPS现在能够检查VShield方面的政策违反情况,比如使用未授权应用程序或非标准端口,或者未经允许,擅自访问某个关键主机。Sourcefire IPS能够动态配置vShield App或vShield Edge,力求限制违反政策的活动。为了提供自动化功能,并尽量减少管理员的干预,Sourcefire IPS还能做到在一段指定的时间后,自动取消限制。

  VMware的产品管理主管Dean Coza表示,vShield系列产品允许使用”位于每个主机上的分布式防火墙”,能够针对虚拟机建立”隔离区”,不管通过VMware的VMotion功能把虚拟机迁移到何处,而使用物理防火墙设备将极难做到这点。

  与vShield API集成意味着,像Sourcefire的IPS这类产品可以直观地显示出现的情况,并与VShield控制技术进行互动。目的在于允许使用客户的IPS,以便同时支持物理服务器和VMware虚拟机环境。他表示,VMware与Sourcefire的竞争对手惠普TippingPoint在携手开展一个类似的IPS项目。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 企业无线网络的安全强化措施(下)

    在文章中,我们列出了数据链路层的针对企业无线局域网可能遭到滥用的对策,这些对策包括使用无线安全标准、无线局域网的入侵检测和异常追踪等。

  • 企业无线网络的安全强化措施(上)

    在文章中,我们列出了数据链路层的针对“企业无线局域网可能遭到滥用”的对策,这些对策包括使用无线安全标准、无线局域网的入侵检测和异常追踪等。

  • 入侵检测系统(IDS)和入侵防御系统(IPS)

    除了应对原有攻击,现在网络管理员希望入侵检测系统(IDS)和入侵防御系统(IPS)还可以检测网页应用攻击,因为应用程序愈来愈成为攻击威胁的入口。

  • 安全网关UTM技术精髓

    传统的UTM被定位在低端市场,这不仅影响厂家的积极性,而且对于用户的实际应用也是不公平的。随着高端IPS产品大量整合安全功能与服务,UTM市场也将向高端延伸。