云中IDS和IPS

引言： 正確配置和部署的IDS或IPS屬于安全控制機制不可缺少的重要部分。IDS或IPS基本上是通過被動監聽網絡通信或內聯到網絡通信而運行的，還要將這些通信與全面涉及可疑和惡意通信簽名的規則集進行匹配。在匹配發生時，入侵檢測系統（IDS）可以觸發警告，而IPS還會阻止通信。在一個第三方的云網絡中，監聽網絡通信有點兒復雜。但是有一些選擇可以使得云環境中的IDS和IPS控制成為一種可用和可行的選擇。

深度防御是一種在網絡內部創建多層防御系統的方法。每一層防御都應當實施一種或多種不同的安全控制，由此構建了一種幾乎不留有任何漏洞的安全環境，從而使攻擊者無法利用漏洞來破壞目標網絡。正確配置和部署的IDS或IPS應當屬于安全控制機制不可缺少的重要部分。IDS或IPS基本上是通過被動監聽網絡通信或內聯到網絡通信而運行的，還要將這些通信與全面涉及可疑和惡意通信簽名的規則集進行匹配。在匹配發生時，入侵檢測系統（IDS）可以觸發警告，而IPS還會阻止通信。在一個第三方的云網絡中，監聽網絡通信有點兒復雜。但是有一些選擇可以使得云環境中的IDS和IPS控制成為一種可用和可行的選擇。

部署

對于成功的IDS或IPS部署和運行而言，有兩個主要因素，即已部署的簽名和經過的網絡通信。網絡通信需要與已部署的簽名相關（例如，如果Drupal服務并沒有存在于企業網絡中，為什么要檢查這種通信呢？）。這意味著，設備的安置很關鍵。例如，設備是否應當全面控制互聯網的外圍或者控制內部子網間的通信？在傳統上，常見的情況是在外圍防火墻（有大量的簽名集）后至少安裝一臺設備，并在不同內部的DMZ或LAN區段（擁有不太多的定制的簽名集）之間安裝幾個其它設備。

完全的或混合的云部署還要求正確安裝設備，以確保所有的相關通信（包括云的內部通信）都可被監控到。

云服務供應商的服務(第三方)

多數大型的云服務供應商都將提供自己的安全服務作為云平臺產品的一個附屬。其中往往包括預配置虛擬設備上的IDS和IPS系統。考慮到網絡的架構會非常靈活，并且還可以利用能夠感知云的IDS和IPS設備，這是一種不錯的解決方案。當然，通過諸如SIEM作為服務或第三方的SOC解決方案也可以做得更好。另一方面，如果需要一種不同的更為傳統的產品或者是需要更多控制，將客戶自有設備放置在公有云中，并由管理系統和SSH或HTTPS等進行控制，也是可能的。

客戶管理設備

不管如何，在混合環境中，客戶的管理設備（IPS及IDS）都需要覆蓋本地網絡的所有通信，以及不屬于云的WAN區域之間的通信。但是，最重要的位置是本地和云網絡終端（網關）之間。如此就可以檢查經由云基礎架構的所有本地通信（其中往往包含著很多關鍵服務的通信）。此外，檢查本地網段與VPN（WAN）區域之間的通信，用以檢查和防止攻擊者的活動也是不錯的選擇。

最后，本地的互聯網通信往往是直接轉發出去的，而不是經由云環境發出的，所以，在外圍部署一個正確配置的IDS和IPS設備也是至關重要的。

基于主機與基于網絡

如果IDS/IPS設備分析經過兩個或多個點之間的網絡通信，這稱為基于網絡的IPS/IDS。另一種IPS/IDS是基于主機的部署，這種安全設備分析經過被監視系統（端點）網絡接口的通信。雖然由于安裝和管理軟件的復雜性而導致其使用頻率不如基于網絡的IDS/IPS那么高，但它確實可以提供一種必要的更為精細的控制。由于虛擬機運行在最常見的云平臺中，所以不會存在任何的兼容問題。基于主機的IDS或IPS可以像監視物理網卡一樣監視虛擬網卡。對于已安裝的應用程序來說，操作系統不應當顯示出物理設備和虛擬設備之間的任何不同。

日志和SIEM

與被監視通信相匹配的每條規則都會產生一個安全事件。在一個忙碌的網絡中，在繁忙的網絡出口和入口，IDS/IPS都會產生大量數據。這些數據需要存放并提供給一個系統用于分析，如提供給SIEM解決方案。

根據網絡布局的不同，數據的收集和存儲點可能位于云中，或位于企業自有的數據中心內部。決定最高效的位置是就是衡量在什么地方可以達到高性能，并且還要關注云平臺供應商的定價模式。無論怎樣，非常重要的一點是，要記住將數據發送到云或從云中發出都會消耗重要的帶寬。

結語

設計一個兼容云環境和本地網絡的IDS/IPS方案并不太難。如上所述，定義健全的簽名集并精心安裝設備對于正確實施是非常關鍵的。不過，企業首先需要做出的決策之一是，IDS/IPS中有多少功能是由云服務供應商來提供的，有多少屬于自己的責任。這是一個衡量成本的問題，也是一個涉及到合規需求的問題。這個過程與遷移到云平臺中的任何其它服務并無不同。