云计算环境中的入侵检测
2010-4-9
【TechTarget中国原创】对系统和数据的攻击在现实世界中是真实存在的。检测和响应这些攻击成为工作中的常态,而且对于保障安全来说这些努力都是值得的。事实上,今天在这个技术领域中的大多数标准和规则对于监控、预警、或者入侵检测的需求都有明确的定义。
在这篇技术文章中我们将讨论入侵检测的一些应用在云计算环境中的要素。具体而言,包括在哪里应用入侵检测,谁来运用,还有将来可能会出现的一些使用入侵检测(ID)的方式。
【TechTarget中国原创】对系统和数据的攻击在现实世界中是真实存在的。检测和响应这些攻击成为工作中的常态,而且对于保障安全来说这些努力都是值得的。事实上,今天在这个技术领域中的大多数标准和规则对于监控、预警、或者入侵检测的需求都有明确的定义。
在这篇技术文章中我们将讨论入侵检测的一些应用在云计算环境中的要素。具体而言,包括在哪里应用入侵检测,谁来运用,还有将来可能会出现的一些使用入侵检测(ID)的方式。
入侵检测和你的云计算模型
实施入侵检测的可行性严重地依赖于你所使用的云计算模型。
软件即服务(SaaS):现实情况是SaaS的用户基本上只能依赖于他们的提供商实现ID。你可以设置选项获得一些日志,也可以部署对于这些信息的监控和报警,但是大部分的ID是由提供商来实现的。
平台即服务(PaaS):和SaaS一样,这一层次上的大部分ID服务也是由提供商来实现的。因为入侵检测系统(IDS)的经典形式是在应用程序外部的。你必须依赖于你的提供商在Paas上部署IDS。然而,你可以配置你的应用和平台登录到一个中心服务器,你可以在此服务器上建立监控和警报系统(例如,你可以自己实现ID)。
基础设施即服务(IaaS):这对你来说是部署ID最灵活可控的方式。不象其他两种方式,IaaS给你作为客户更多的选择权。这也是本文将着力介绍的部分。
IaaS上的入侵检测:应该在哪里实施?
当谈及IaaS云上的ID时,我们需要斟酌部署的位置。有三个主要的候选“场所”:
- 在虚拟机上:在虚拟机层上部署ID使你可以监控系统的活动,对突发事件检测和报警。
- 在管理程序和主机系统上:在管理程序上部署ID使你不仅可以监控管理程序还可以在管理程序和虚拟机之间切换。这对ID来说是一个更核心的位置,但是考虑到性能因素当数据量很大时需要删除一些日志信息。而且我们可以看到现在这个模式发展的还很不成熟。
- 在虚拟网络中:部署ID监控虚拟网络(例如建立在主机之间的网络)使你可以监控主机上的虚拟机之间的网络交通,同时还可以监控虚拟机和主机之间的网络交通。这里的“网络”交通的内涵和传统网络大不相同。
谁该对云中的入侵检测负责?
搞定一件事情的正确方式是确定谁来负责,怎样负责,对于云中的ID也是如此。我想有下列基本规则:
- 供应商应该在某些位置部署ID来支持他们的(不是你的)入侵检测系统。
- 你必须有一个安全水平协议(SLA)来要求供应商在你被直接攻击时(例如,他们发现有人攻击你的虚拟机)或间接攻击(例如,有人攻击你虚拟机上的管理程序)时提醒你。
- 如果你部署了ID,它应该被整合进你当前的监控和报警基础设施。
- 将来可能会有第三方厂商提供云上的入侵检测系统给那些不想管理自己云实例上的ID的客户,当然这会需要一笔附件的费用。
在云中实施入侵检测
现在我们已经知道了该在哪里实施ID,下面我们的问题是“如何实施它?”
传统的基于主机的入侵检测系统
第一个选项是传统的基于主机的入侵检测系统(HIDS)。你可以在虚拟机上使用HIDS,也可以在主机或管理程序上使用。虚拟机上的HIDS是由你来部署、管理、和监控的。而管理程序上的HIDS是由你的提供商来负责。如果你打算把管理程序上的HIDS整合进你的IDS,你需要和你的云提供商合作。事实上,由于你得不到底层相关的信息,所以合作合同必须确保你的云提供商实现了足够的监控和报警。
总之,在虚拟机上发布和管理HIDS是客户的责任,而在管理程序上的HIDS则完全依赖于云提供商。
传统的基于网络的入侵检测系统
第二个选项是传统的基于网络的入侵检测系统(NIDS)。这种模式有助于检测对于虚拟机和管理程序的攻击。但是它也有一些局限性。首先当攻击完全来自于该管理程序掌控的虚拟网络之内时,它是无效的。第二,主机这一层次对它的可见性很差。最后,如果网络交通是加密的,NIDS没有有效的方式来解密和分析。
云中,NIDS完全是由云提供商来部署和管理的。
基于管理程序的入侵检测系统
第三个选择是在管理程序层应用入侵检测系统,但又不是采用严格的HIDS模式。这个领域的一个很有前途的技术是虚拟机自检。这种IDS可以监控和分析虚拟机之间的流量,还有管理程序和虚拟机之间的流量,和基于管理程序的虚拟网络之间的流量。管理程序层应用入侵检测的好处是信息的可见性,在它这一层,基本上所有的信息都是可见的。而它的劣势是这个技术很新,没有前车之鉴,你需要确切地知道你想要什么。
和NIDS一样,这个模式完全是由云提供商来部署和管理的。
总结
现实中,云中的入侵检测最好是由提供商来实施。在重要事件发生时他们有这些消息的钩子(消息捕捉工具)。就云中的入侵检测来说基于虚拟机自检的ID可能是最有前途的技术。更进一步说,我认为它就是云入侵检测系统的未来,这就意味着,你和你的云提供商之间要定好一个SLA(安全水平协议)来确保他们及时提供你所需要的信息。如果你的云提供商没有提供ID,你应该强烈地建议他们开始实施ID,或者你应该换一家有此服务的厂商。当ID成为长期和标准化的工作,对客户的承诺和对最佳实现的追求将促使你拥有一个有效的IDS。这不是一个可选项,任何一个关心安全的云提供商都会提供此项服务。