入侵偵測是一種積極主動的安全防護技術,它可以對網路傳輸進行即時監視,在發現可疑傳輸時發出警報或者採取主動反應措施,已經在網路安全領域得到了較為廣泛的應用。傳統的入侵偵測系統 IDS (Intrusion Detect System) 和入侵保護系統 IPS (Intrusion Protect System) 都是以硬體方式實現的,入侵偵測和保護功能集中在一個外部的硬體系統中,受保護的系統需要把網路流量導流到這些外置的 IDPS 系統,才能對網路流量進行檢測,這就會導致髮卡流量 (Hair-pin Traffic)。
除了髮卡流量,傳統的集中式硬體入侵偵測和保護系統還存在著以下問題:
- 安全檢測模型和細微性不夠靈活
- IDS 硬體的位置固定,在高可靠方案中需要配多套冗餘設備,當虛機遷移後有可能需要修改網路配置
- 無法感知受保護應用的類型以提供有針對性的保護
NSX 3.0 在分散式防火牆中增加了入侵偵測和入侵保護功能,利用軟體來實現 IDS/IPS 的功能,具有以下特點:
- 分散式的彈性架構,靈活應對性能壓力
- 為應用對供針對性檢測,效率和準確性更高
- 支持虛機遷移
- 易於部署,易於使用
分散式的彈性架構,靈活應對性能壓力
NSX 採用分散式的架構來提供入侵偵測和入侵保護功能,可以理解為 NSX 分散式防火牆增加了 IDS 和 IPS 的功能,所以它能夠對每個虛機提供安全檢測和保護。分散式防火牆位於每一台伺服器上,訪問虛機的網路流量可以就近由分散式防火牆來處器,不再需要把流量導向到集中式的 IDS/IPS 設備,徹底消除了髮夾式流量。
傳統的硬體 IDS/IPS 系統,由於處理能力的限制,當網路流量較高時,只能選擇性地只對部分資料包進行檢測,容易造成漏判。分散式的架構帶來了處理性能上的彈性,當網路流量超出現有的處理能力時,可以利用空閒的伺服器進行橫向擴容 (scale out),從而靈活滿足業務變化的需求。
為應用對供針對性檢測,效率和準確性更高
如果您曾經管理過防火牆,那麼您就會知道,隨著時間的流逝,防火牆的規則會迅速增長,可以輕鬆地達到幾千或上萬條規則,甚至更多。在傳統的防火牆模型中,我們必須始終針對所有資料包運行所有防火牆規則,這會給防火牆的處理能力帶來很大的壓力。對於入侵偵測,也是同樣的道理,針對網路資料包需要應用一大堆入侵模式進行分析檢查。
NSX 在這方面實現了創新,它給我們帶來了更加智慧的規則應用和檢測細微性。由於 NSX 是在 hypervisor 內核中實現的,使得它對於虛機中運行的應用和服務有著更加深入的理解,它知道 Web 層、應用層和資料庫層之間的區別。因此,我們只需要應用適用於工作負載的那些規則,Web 層只需要檢測 Web 相關的規則,應用層和資料庫層也是如此,這大大減少了每一台虛機上應用的規則數量。NSX 從本質上知道 Apache 和 Tomcat 之間的區別,因此僅將適當的 IDS/IPS 簽名應用於對應虛機,客戶將看到更少的誤報,在顯著提高輸送量的同時也提高了檢測的準確性。 NSX 的這種工作機制是傳統的入侵偵測和保護技術無法相提並論的,在效率和靈活性上有著很大的優勢,這是傳統的硬體系統與軟體定義解決方案之間的主要區別。
支持虛機遷移
在虛擬化的雲環境中,NSX 對於虛機的保護能力可以隨著虛機遷移,實際上針對虛機的防火牆規則和 IDS/IPS 規則都是一些全域性的設置,虛機遷移到一台新的伺服器上後這些規則會馬上生效。傳統的硬體方案要實現這種能力需要配置多套硬體,並且需要用手工或腳本來同步多台設備之間的配置。在 NSX 3.0 中也加入了聯邦 (Federation) 功能來把多個資料中心的 NSX 虛擬網路整合成一個整體,這樣安全性原則和規則可以跨資料中心生效,這種能力更是硬體方案無法實現的。
易於部署,易於使用
傳統的防火牆和 IDS/IPS 設備價格昂貴、難以管理、容量受限,並且通常缺乏解決現代資料中心設計和應用模式的關鍵功能。NSX 的防火牆和 IDS / IPS 部署模型會隨著每個工作負載消耗或釋放容量而線性擴展,充分利用資料中心中所有計算資源,並且不再需要專用設備來束縛流量並加劇東西向網路的擁塞。對於管理員來說,網路、防火牆和 IDS/IPS 規則只需要定義一次就可以到處使用。這些規則是附加到虛機上的,當創建新的工作負載時,就會自動應用正確的規則;當工作負載退役時,規則會自動失效;而當工作負載移動時,規則會隨之遷移並保持狀態。
這些融合的操作使安全性原則、合規性管理變得更加容易,並且大大簡化了整體的安全體系結構。在現代應用環境中,容器 Pod 工作負載甚至是動態生成和消除的,可能有成千上萬個虛機物件需要安全保護,依靠傳統的硬體防火牆和 IDS/IPS 來保護這些應用是不可相像的,只有軟體定義全自動解決方案才能勝任新一代容器應用的安全保護。
擴展閱讀
VMware 和 Intel 攜手網路和安全轉型,共同打造虛擬雲網路 (Virtual Cloud Network),為數位化時代確定網路發展前景。虛擬雲網路基於運行在 Intel 架構上的 NSX 技術而構建, 跨資料中心、雲、邊緣環境和任意硬體基礎架構提供無處不在的基於軟體的網路連接,具有以下特點:
- 跨雲的網路架構為用戶提供端到端的連接
- 內置於基礎架構的原生安全性
- 基於軟體而交付的網路具有最大的靈活性
利用這一平臺,無論應用運行在哪裡 (現場或是雲端),用戶都能夠保證應用架構的安全;並且統一所有分支機搆和邊緣環境的網路連接,以支撐業務運行。
Comments
0 Comments have been added so far