云中IDS和IPS

引言： 正確配置和部署的IDS或IPS屬于安全控制機制不可缺少的重要部分。IDS或IPS基本上是通過被動監(jiān)聽網(wǎng)絡(luò)通信或內(nèi)聯(lián)到網(wǎng)絡(luò)通信而運行的，還要將這些通信與全面涉及可疑和惡意通信簽名的規(guī)則集進行匹配。在匹配發(fā)生時，入侵檢測系統(tǒng)（IDS）可以觸發(fā)警告，而IPS還會阻止通信。在一個第三方的云網(wǎng)絡(luò)中，監(jiān)聽網(wǎng)絡(luò)通信有點兒復(fù)雜。但是有一些選擇可以使得云環(huán)境中的IDS和IPS控制成為一種可用和可行的選擇。

深度防御是一種在網(wǎng)絡(luò)內(nèi)部創(chuàng)建多層防御系統(tǒng)的方法。每一層防御都應(yīng)當(dāng)實施一種或多種不同的安全控制，由此構(gòu)建了一種幾乎不留有任何漏洞的安全環(huán)境，從而使攻擊者無法利用漏洞來破壞目標(biāo)網(wǎng)絡(luò)。正確配置和部署的IDS或IPS應(yīng)當(dāng)屬于安全控制機制不可缺少的重要部分。IDS或IPS基本上是通過被動監(jiān)聽網(wǎng)絡(luò)通信或內(nèi)聯(lián)到網(wǎng)絡(luò)通信而運行的，還要將這些通信與全面涉及可疑和惡意通信簽名的規(guī)則集進行匹配。在匹配發(fā)生時，入侵檢測系統(tǒng)（IDS）可以觸發(fā)警告，而IPS還會阻止通信。在一個第三方的云網(wǎng)絡(luò)中，監(jiān)聽網(wǎng)絡(luò)通信有點兒復(fù)雜。但是有一些選擇可以使得云環(huán)境中的IDS和IPS控制成為一種可用和可行的選擇。

部署

對于成功的IDS或IPS部署和運行而言，有兩個主要因素，即已部署的簽名和經(jīng)過的網(wǎng)絡(luò)通信。網(wǎng)絡(luò)通信需要與已部署的簽名相關(guān)（例如，如果Drupal服務(wù)并沒有存在于企業(yè)網(wǎng)絡(luò)中，為什么要檢查這種通信呢？）。這意味著，設(shè)備的安置很關(guān)鍵。例如，設(shè)備是否應(yīng)當(dāng)全面控制互聯(lián)網(wǎng)的外圍或者控制內(nèi)部子網(wǎng)間的通信？在傳統(tǒng)上，常見的情況是在外圍防火墻（有大量的簽名集）后至少安裝一臺設(shè)備，并在不同內(nèi)部的DMZ或LAN區(qū)段（擁有不太多的定制的簽名集）之間安裝幾個其它設(shè)備。

完全的或混合的云部署還要求正確安裝設(shè)備，以確保所有的相關(guān)通信（包括云的內(nèi)部通信）都可被監(jiān)控到。

云服務(wù)供應(yīng)商的服務(wù)(第三方)

多數(shù)大型的云服務(wù)供應(yīng)商都將提供自己的安全服務(wù)作為云平臺產(chǎn)品的一個附屬。其中往往包括預(yù)配置虛擬設(shè)備上的IDS和IPS系統(tǒng)?？紤]到網(wǎng)絡(luò)的架構(gòu)會非常靈活，并且還可以利用能夠感知云的IDS和IPS設(shè)備，這是一種不錯的解決方案。當(dāng)然，通過諸如SIEM作為服務(wù)或第三方的SOC解決方案也可以做得更好。另一方面，如果需要一種不同的更為傳統(tǒng)的產(chǎn)品或者是需要更多控制，將客戶自有設(shè)備放置在公有云中，并由管理系統(tǒng)和SSH或HTTPS等進行控制，也是可能的。

客戶管理設(shè)備

不管如何，在混合環(huán)境中，客戶的管理設(shè)備（IPS及IDS）都需要覆蓋本地網(wǎng)絡(luò)的所有通信，以及不屬于云的WAN區(qū)域之間的通信。但是，最重要的位置是本地和云網(wǎng)絡(luò)終端（網(wǎng)關(guān)）之間。如此就可以檢查經(jīng)由云基礎(chǔ)架構(gòu)的所有本地通信（其中往往包含著很多關(guān)鍵服務(wù)的通信）。此外，檢查本地網(wǎng)段與VPN（WAN）區(qū)域之間的通信，用以檢查和防止攻擊者的活動也是不錯的選擇。

最后，本地的互聯(lián)網(wǎng)通信往往是直接轉(zhuǎn)發(fā)出去的，而不是經(jīng)由云環(huán)境發(fā)出的，所以，在外圍部署一個正確配置的IDS和IPS設(shè)備也是至關(guān)重要的。

基于主機與基于網(wǎng)絡(luò)

如果IDS/IPS設(shè)備分析經(jīng)過兩個或多個點之間的網(wǎng)絡(luò)通信，這稱為基于網(wǎng)絡(luò)的IPS/IDS。另一種IPS/IDS是基于主機的部署，這種安全設(shè)備分析經(jīng)過被監(jiān)視系統(tǒng)（端點）網(wǎng)絡(luò)接口的通信。雖然由于安裝和管理軟件的復(fù)雜性而導(dǎo)致其使用頻率不如基于網(wǎng)絡(luò)的IDS/IPS那么高，但它確實可以提供一種必要的更為精細的控制。由于虛擬機運行在最常見的云平臺中，所以不會存在任何的兼容問題?；谥鳈C的IDS或IPS可以像監(jiān)視物理網(wǎng)卡一樣監(jiān)視虛擬網(wǎng)卡。對于已安裝的應(yīng)用程序來說，操作系統(tǒng)不應(yīng)當(dāng)顯示出物理設(shè)備和虛擬設(shè)備之間的任何不同。

日志和SIEM

與被監(jiān)視通信相匹配的每條規(guī)則都會產(chǎn)生一個安全事件。在一個忙碌的網(wǎng)絡(luò)中，在繁忙的網(wǎng)絡(luò)出口和入口，IDS/IPS都會產(chǎn)生大量數(shù)據(jù)。這些數(shù)據(jù)需要存放并提供給一個系統(tǒng)用于分析，如提供給SIEM解決方案。

根據(jù)網(wǎng)絡(luò)布局的不同，數(shù)據(jù)的收集和存儲點可能位于云中，或位于企業(yè)自有的數(shù)據(jù)中心內(nèi)部。決定最高效的位置是就是衡量在什么地方可以達到高性能，并且還要關(guān)注云平臺供應(yīng)商的定價模式。無論怎樣，非常重要的一點是，要記住將數(shù)據(jù)發(fā)送到云或從云中發(fā)出都會消耗重要的帶寬。

結(jié)語

設(shè)計一個兼容云環(huán)境和本地網(wǎng)絡(luò)的IDS/IPS方案并不太難。如上所述，定義健全的簽名集并精心安裝設(shè)備對于正確實施是非常關(guān)鍵的。不過，企業(yè)首先需要做出的決策之一是，IDS/IPS中有多少功能是由云服務(wù)供應(yīng)商來提供的，有多少屬于自己的責(zé)任。這是一個衡量成本的問題，也是一個涉及到合規(guī)需求的問題。這個過程與遷移到云平臺中的任何其它服務(wù)并無不同。