【51CTO 4月14日外电头条】入侵预防系统(IPS)厂商们一直觉得重新改造IPS设备、用于虚拟机环境并非易事。而现在,迈克菲和Sourcefire这两家厂商声称已克服了一些障碍,至少在VMware的虚拟机方面是这样。
迈克菲近日声称,网络安全平台版本6(之前IntruShield IPS的升级版)添加了一种方法,通过使用在虚拟机管理程序上运行的基于代理的软件,以检查VMware虚拟机管理程序后面的内部网络流量。为此,迈克菲借助一项技术合作计划,以OEM(贴牌)方式获得了Reflex Systems公司的代理技术。
迈克菲网络安全产品营销的副总裁Greg Brown表示,迈克菲IPS代理软件可透视流量,并通过一条安全通道传送到迈克菲IPS,在硬件设备上执行评估工作。他补充说:"以前我们看不到虚拟机上的情况。"
Brown表示,在硬件设备上检查流量被认为可以防止给虚拟机本身带来负担,不然就得将处理器资源专门用于IPS。迈克菲网络安全平台目前只能以这种方式支持基于VMware的虚拟机,但迈克菲正在为微软和思杰的虚拟机环境也考虑采用同样的IPS方法。
迈克菲的方法不但只用于企业,还可以用于云服务提供商,以提供IPS安全服务。而这就是为什么云服务提供商Savvis在其数据中心的VMware虚拟机上试用迈克菲基于代理的IPS方法。
Savvis的安全和虚拟化技术副总裁Ken Owens说:"我们对于传送的流量有所限制。"面向VMware虚拟机管理程序的迈克菲代理软件基于Reflex的技术,先初步检查流量,然后决定哪些流量发送到迈克菲IPS设备,接受进一步的检查。
Owens承认,结合多种技术的厂商"总是有一种顾虑",因为这会带来诸多问题,比如长远来看多种技术协同运行状况如何,或者某一项技术会不会被收购。但正在Savvis接受测试的这个方法将让这家云服务提供商可以使用迈克菲IPS,为传统物理服务器和虚拟机服务器都能检查流量。
Owens补充说,现在还没有"跨平台支持功能",以支持微软HyperV和思杰Xen虚拟机;这是个缺点,因为Savvis在考虑添加虚拟机平台。
Sourcefire公司也声称取得了进展,推出了面向VMware环境的一种入侵预防方法。
Sourcefire的高级产品经理Richard Park表示,现在Sourcefire IPS已与VMware的两款产品: vShield App和vShield Edge集成起来。
VMware vShield App是VMware的一款可感知应用程序的防火墙,可以安装到每个VMware vSphere主机上,以控制和监测虚拟机之间的流量。VMware vShield Edge则是一款虚拟设备,提供了防火墙功能、虚拟专用网(VPN)、Web负载均衡及其他功能,目的在于让用户不需要虚拟局域网。
据Park声称,VMware产品与Sourcefire IPS集成意味着,通过支持vShield应用编程接口(API),这款IPS能够收到关于VMware环境中政策违反情况的信息,并采取相应措施,比如更新vShield App防火墙。
Sourcefire IPS现在能够检查VShield方面的政策违反情况,比如使用未授权应用程序或非标准端口,或者未经允许,擅自访问某个关键主机。Sourcefire IPS能够动态配置vShield App或vShield Edge,力求限制违反政策的活动。为了提供自动化功能,并尽量减少管理员的干预,Sourcefire IPS还能做到在一段指定的时间后,自动取消限制。
VMware的产品管理主管Dean Coza表示,vShield系列产品允许使用"位于每个主机上的分布式防火墙",能够针对虚拟机建立"隔离区",不管通过VMware的VMotion功能把虚拟机迁移到何处,而使用物理防火墙设备将极难做到这点。
与vShield API集成意味着,像Sourcefire的IPS这类产品可以直观地显示出现的情况,并与VShield控制技术进行互动。目的在于允许使用客户的IPS,以便同时支持物理服务器和VMware虚拟机环境。他表示,VMware与Sourcefire的竞争对手惠普TippingPoint在携手开展一个类似的IPS项目。
【51CTO.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】
【编辑推荐】