云上的高级威胁检测和防御系统 ——NSX分布式IDS/IPS

admin 2024年3月10日21:56:04评论21 views字数 2141阅读7分8秒阅读模式

概述

随着分布式应用和微服务的兴起,云数据中心内部的流量占据了主导地位,如何有效的进行云数据中心内部流量的安全防护,成为了云安全讨论的重要话题。VMware 早在5年前就提出了微分段的概念,并可以通过NSX 平台中内置的分布式防火墙实现了应用的精细化 L2-L7 层的安全隔离,并提供了在异构环境下统一安全运维管理。但是近些年来,网络攻击手段层出不穷,包括像木马、勒索病毒、蠕虫攻击、缓冲区溢出攻击、 SQL 注入等等,而防火墙采用的是被动的防御机制,只要数据包具有合法的身份,它就可以通过防火墙,但是对于数据包中存在的攻击行为确无能为力。

所以,VMware 在 NSX-T 3.1推出了分布式 IDS/IPS 系统,实现对网络异常行为的检测,并可以针对异常的行为进行响应,从而实现了云数据中心内部的高级入侵检测和防御能力。本文将介绍 NSX 分布式的 IDS/IPS 方案,并与传统方案的区别以及技术优势。

01

传统IDS/IPS的挑战

在这里,我们先介绍一下传统 IDS/IPS 方案的挑战,如下图所示:

云上的高级威胁检测和防御系统 ——NSX分布式IDS/IPS

从上图中,我们看到传统的 IDS/IPS 方案存在以下几个问题:

第一、传统部署 IDS/IPS 采用集中式部署方式,通常采用硬件部署或虚拟机形式部署,应用的流量要引流至这些集中的 IDS/IPS ,出现发卡弯流量,性能无法满足云环境下的要求,吞吐量受到限制;

第二、集中式部署,在高可靠性的方案中,需要考虑这些设备的冗余的机制,成本和复杂度较高;

第三,在云的环境当中,虚拟机的位置可能会发生变化,如果虚拟机位置发生的变化,可能需要对 IDS/IPS 上的策略进行修改,而 IDS/IPS 无法感知到应用位置的变化。

02

NSX分布式IDS/IPS入侵检测和防御系统

NSX 分布式 IDS/IPS 功能内置于 NSX 平台当中,它采用了分布式的架构,并且 IDS/IPS 策略内嵌到每台主机的 Hypervisor 内核当中,可以对每一个流经的数据包进行威胁检测,并提供威胁阻止的能力。

云上的高级威胁检测和防御系统 ——NSX分布式IDS/IPS

NSX 分布式 IDS/IPS 跟传统的 IDS/IPS 有哪些不同?它有哪些优势呢?接下来将跟大家介绍一下 NSX 分布式 IDS/IPS 和传统方式的不同和它的优势。

第一、NSX 分布式 IDS/IPS 全图型化界面。管理员可以通过安全概览界面查看到近期入侵的趋势、攻击类型的分布以及受到安全威胁的虚拟机的 TOP 排名。

云上的高级威胁检测和防御系统 ——NSX分布式IDS/IPS

第二、NSX 分布式 IDS/IPS 简化网络体系架构和运维。它无需将流量引导到集中的安全设备,可简化网络的设计,并减少网络拥塞情况。借助 NSX 分布式 IDS/IPS 管理界面,可以实现基于属性的策略,运维人员能够进行细粒度的控制。IDS/IPS 策略部署像 DFW 策略部署一样简单,下图是 IDS/IPS 的策略部署。可以将规则配置成“仅检测”模式,也可以配置成“检测和阻止”模式,“仅检测”模式意味着当有入侵行为发生时,仅给出告警,而“检测和阻止”模式意味着当有入侵行为发生时,除了给出告警之外,还做出阻止的行为。

云上的高级威胁检测和防御系统 ——NSX分布式IDS/IPS

第三、NSX 分布式 IDS/IPS 内置详细入侵行为的日志系统,可以查看实时的入侵事件,并以图型化进行展示。

云上的高级威胁检测和防御系统 ——NSX分布式IDS/IPS

上图是一个事件的图型化界面,我们可以通过筛选器来显示一段时间内的事件信息,比如24小时、48小时、14天等等。在这个界面的中部,有不同颜色的点,代表了入侵的行为,不同颜色的点代表了不同风险级别的威胁,当点在闪烁的时候,这意味着入侵行为正在发生。在界面的下边,显示了每一个入侵的行为详细信息,这里包括入侵的时间、攻击者的 IP 和攻击目标的 IP,并展示了攻击方向以及攻击的流量,同时也显示的攻击类型、匹配的特征码 ID、协议类型等信息。除了这些信息之外,还可以展示哪些虚拟机受到了安全的威胁以及漏洞的详情。

第四、IDS/IPS 特征码可以自动联网更新,也可以下载后,导入到系统当中。

云上的高级威胁检测和防御系统 ——NSX分布式IDS/IPS

在众多的特征码中,我们可以根据需要自已选择需要的特征码也可以排除特定的特征码,根据对正在运行的应用的了解,只有相关的威胁签名才会被分发到每个工作负载中进行评估,如下图所示:

云上的高级威胁检测和防御系统 ——NSX分布式IDS/IPS

第五、虚拟机如果由于某种原因发生了迁移,也不需对 IDS/IPS 策略做出任何的改动。

03

如何启用NSX分布式IDS/IPS

要使用 IDS/IPS 功能,必须全局启用 IDS/IPS ,可以在特定的主机上启用,也可以在某个集群上来启用,如下图所示:

云上的高级威胁检测和防御系统 ——NSX分布式IDS/IPS

分布式 IDS/IPS 的配置方法如下:

(1)配置“配置文件”,每一个应用可以采用一个特定的配置文件,在配置文件中可以选择特征码的风险级别以及攻击类型和攻击目标等信息,如下图所示:

云上的高级威胁检测和防御系统 ——NSX分布式IDS/IPS

(2)配置 IDS/IPS 规则,可以针对特定的源和目标配置 IDS/IPS 规则,应用到特定的对象中,模式可以选择“仅检测”或者“检测和阻止”。如下图所示:

云上的高级威胁检测和防御系统 ——NSX分布式IDS/IPS

总结

当数据中心面临安全问题时,我们可以使用 NSX 做为一个基础架构平台,除了提供了 L2-L7 分布式防火墙的能力外,还提供了高级威胁检测和防御能力。如果您的企业要在云中开启高级威胁检测和防御能力,NSX 分布式 IDS/IPS 是最佳的解决方案,它完全不需要对底层的物理网络架构做出任何调整,并提供高级威胁检测和阻止的可视性。

声明:本文正文选自VMware中

原文始发于微信公众号(LemonSec):虚拟云网络专辑|云上的高级威胁检测和防御系统 ——NSX分布式IDS/IPS

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月10日21:56:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   云上的高级威胁检测和防御系统 ——NSX分布式IDS/IPShttps://cn-sec.com/archives/2564153.html

发表评论

匿名网友 填写信息