入侵检测是一种积极主动的安全防护技术,它可以对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施,已经在网络安全领域得到了较为广泛的应用。传统的入侵检测系统 IDS (Intrusion Detect System) 和入侵保护系统 IPS (Intrusion Protect System) 都是以硬件方式实现的,入侵检测和保护功能集中在一个外部的硬件系统中,受保护的系统需要把网络流量导流到这些外置的 IDPS 系统,才能对网络流量进行检测,这就会导致发卡流量 (Hair-pin Traffic)。
除了发卡流量,传统的集中式硬件入侵检测和保护系统还存在着以下问题:
- 安全检测模型和粒度不够灵活
- IDS 硬件的位置固定,在高可靠方案中需要配多套冗余设备,当虚机迁移后有可能需要修改网络配置
- 无法感知受保护应用的类型以提供有针对性的保护
NSX 3.0 在分布式防火墙中增加了入侵检测和入侵保护功能,利用软件来实现 IDS/IPS 的功能,具有以下特点:
- 分布式的弹性架构,灵活应对性能压力
- 为应用对供针对性检测,效率和准确性更高
- 支持虚机迁移
- 易于部署,易于使用
分布式的弹性架构,灵活应对性能压力
NSX 采用分布式的架构来提供入侵检测和入侵保护功能,可以理解为 NSX 分布式防火墙增加了 IDS 和 IPS 的功能,所以它能够对每个虚机提供安全检测和保护。分布式防火墙位于每一台服务器上,访问虚机的网络流量可以就近由分布式防火墙来处器,不再需要把流量导向到集中式的 IDS/IPS 设备,彻底消除了发夹式流量。
传统的硬件 IDS/IPS 系统,由于处理能力的限制,当网络流量较高时,只能选择性地只对部分数据包进行检测,容易造成漏判。分布式的架构带来了处理性能上的弹性,当网络流量超出现有的处理能力时,可以利用空闲的服务器进行横向扩容 (scale out),从而灵活满足业务变化的需求。
为应用对供针对性检测,效率和准确性更高
如果您曾经管理过防火墙,那么您就会知道,随着时间的流逝,防火墙的规则会迅速增长,可以轻松地达到几千或上万条规则,甚至更多。在传统的防火墙模型中,我们必须始终针对所有数据包运行所有防火墙规则,这会给防火墙的处理能力带来很大的压力。对于入侵检测,也是同样的道理,针对网络数据包需要应用一大堆入侵模式进行分析检查。
NSX 在这方面实现了创新,它给我们带来了更加智能的规则应用和检测粒度。由于 NSX 是在 hypervisor 内核中实现的,使得它对于虚机中运行的应用和服务有着更加深入的理解,它知道 Web 层、应用层和数据库层之间的区别。因此,我们只需要应用适用于工作负载的那些规则,Web 层只需要检测 Web 相关的规则,应用层和数据库层也是如此,这大大减少了每一台虚机上应用的规则数量。NSX 从本质上知道 Apache 和 Tomcat 之间的区别,因此仅将适当的 IDS/IPS 签名应用于对应虚机,客户将看到更少的误报,在显著提高吞吐量的同时也提高了检测的准确性。 NSX 的这种工作机制是传统的入侵检测和保护技术无法相提并论的,在效率和灵活性上有着很大的优势,这是传统的硬件系统与软件定义解决方案之间的主要区别。
支持虚机迁移
在虚拟化的云环境中,NSX 对于虚机的保护能力可以随着虚机迁移,实际上针对虚机的防火墙规则和 IDS/IPS 规则都是一些全局性的设置,虚机迁移到一台新的服务器上后这些规则会马上生效。传统的硬件方案要实现这种能力需要配置多套硬件,并且需要用手工或脚本来同步多台设备之间的配置。在 NSX 3.0 中也加入了联邦 (Federation) 功能来把多个数据中心的 NSX 虚拟网络整合成一个整体,这样安全策略和规则可以跨数据中心生效,这种能力更是硬件方案无法实现的。
易于部署,易于使用
传统的防火墙和 IDS/IPS 设备价格昂贵、难以管理、容量受限,并且通常缺乏解决现代数据中心设计和应用模式的关键功能。NSX 的防火墙和 IDS / IPS 部署模型会随着每个工作负载消耗或释放容量而线性扩展,充分利用数据中心中所有计算资源,并且不再需要专用设备来束缚流量并加剧东西向网络的拥塞。对于管理员来说,网络、防火墙和 IDS/IPS 规则只需要定义一次就可以到处使用。这些规则是附加到虚机上的,当创建新的工作负载时,就会自动应用正确的规则;当工作负载退役时,规则会自动失效;而当工作负载移动时,规则会随之迁移并保持状态。
这些融合的操作使安全策略、合规性管理变得更加容易,并且大大简化了整体的安全体系结构。在现代应用环境中,容器 Pod 工作负载甚至是动态生成和消除的,可能有成千上万个虚机对象需要安全保护,依靠传统的硬件防火墙和 IDS/IPS 来保护这些应用是不可相像的,只有软件定义全自动解决方案才能胜任新一代容器应用的安全保护。
扩展阅读
VMware 和 Intel 携手网络和安全转型,共同打造虚拟云网络 (Virtual Cloud Network),为数字化时代确定网络发展前景。虚拟云网络基于运行在 Intel 架构上的 NSX 技术而构建, 跨数据中心、云、边缘环境和任意硬件基础架构提供无处不在的基于软件的网络连接,具有以下特点:
- 跨云的网络架构为用户提供端到端的连接
- 内置于基础架构的原生安全性
- 基于软件而交付的网络具有最大的灵活性
利用这一平台,无论应用运行在哪里 (现场或是云端),用户都能够保证应用架构的安全;并且统一所有分支机构和边缘环境的网络连接,以支撑业务运行。