引言： 正確配置和部署的IDS或IPS屬于安全控制機(jī)制不可缺少的重要部分。IDS或IPS基本上是通過(guò)被動(dòng)監(jiān)聽(tīng)網(wǎng)絡(luò)通信或內(nèi)聯(lián)到網(wǎng)絡(luò)通信而運(yùn)行的，還要將這些通信與全面涉及可疑和惡意通信簽名的規(guī)則集進(jìn)行匹配。在匹配發(fā)生時(shí)，入侵檢測(cè)系統(tǒng)（IDS）可以觸發(fā)警告，而IPS還會(huì)阻止通信。在一個(gè)第三方的云網(wǎng)絡(luò)中，監(jiān)聽(tīng)網(wǎng)絡(luò)通信有點(diǎn)兒復(fù)雜。但是有一些選擇可以使得云環(huán)境中的IDS和IPS控制成為一種可用和可行的選擇。

深度防御是一種在網(wǎng)絡(luò)內(nèi)部創(chuàng)建多層防御系統(tǒng)的方法。每一層防御都應(yīng)當(dāng)實(shí)施一種或多種不同的安全控制，由此構(gòu)建了一種幾乎不留有任何漏洞的安全環(huán)境，從而使攻擊者無(wú)法利用漏洞來(lái)破壞目標(biāo)網(wǎng)絡(luò)。正確配置和部署的IDS或IPS應(yīng)當(dāng)屬于安全控制機(jī)制不可缺少的重要部分。IDS或IPS基本上是通過(guò)被動(dòng)監(jiān)聽(tīng)網(wǎng)絡(luò)通信或內(nèi)聯(lián)到網(wǎng)絡(luò)通信而運(yùn)行的，還要將這些通信與全面涉及可疑和惡意通信簽名的規(guī)則集進(jìn)行匹配。在匹配發(fā)生時(shí)，入侵檢測(cè)系統(tǒng)（IDS）可以觸發(fā)警告，而IPS還會(huì)阻止通信。在一個(gè)第三方的云網(wǎng)絡(luò)中，監(jiān)聽(tīng)網(wǎng)絡(luò)通信有點(diǎn)兒復(fù)雜。但是有一些選擇可以使得云環(huán)境中的IDS和IPS控制成為一種可用和可行的選擇。

部署

對(duì)于成功的IDS或IPS部署和運(yùn)行而言，有兩個(gè)主要因素，即已部署的簽名和經(jīng)過(guò)的網(wǎng)絡(luò)通信。網(wǎng)絡(luò)通信需要與已部署的簽名相關(guān)（例如，如果Drupal服務(wù)并沒(méi)有存在于企業(yè)網(wǎng)絡(luò)中，為什么要檢查這種通信呢？）。這意味著，設(shè)備的安置很關(guān)鍵。例如，設(shè)備是否應(yīng)當(dāng)全面控制互聯(lián)網(wǎng)的外圍或者控制內(nèi)部子網(wǎng)間的通信？在傳統(tǒng)上，常見(jiàn)的情況是在外圍防火墻（有大量的簽名集）后至少安裝一臺(tái)設(shè)備，并在不同內(nèi)部的DMZ或LAN區(qū)段（擁有不太多的定制的簽名集）之間安裝幾個(gè)其它設(shè)備。

完全的或混合的云部署還要求正確安裝設(shè)備，以確保所有的相關(guān)通信（包括云的內(nèi)部通信）都可被監(jiān)控到。

云服務(wù)供應(yīng)商的服務(wù)(第三方)

多數(shù)大型的云服務(wù)供應(yīng)商都將提供自己的安全服務(wù)作為云平臺(tái)產(chǎn)品的一個(gè)附屬。其中往往包括預(yù)配置虛擬設(shè)備上的IDS和IPS系統(tǒng)?？紤]到網(wǎng)絡(luò)的架構(gòu)會(huì)非常靈活，并且還可以利用能夠感知云的IDS和IPS設(shè)備，這是一種不錯(cuò)的解決方案。當(dāng)然，通過(guò)諸如SIEM作為服務(wù)或第三方的SOC解決方案也可以做得更好。另一方面，如果需要一種不同的更為傳統(tǒng)的產(chǎn)品或者是需要更多控制，將客戶自有設(shè)備放置在公有云中，并由管理系統(tǒng)和SSH或HTTPS等進(jìn)行控制，也是可能的。

客戶管理設(shè)備

不管如何，在混合環(huán)境中，客戶的管理設(shè)備（IPS及IDS）都需要覆蓋本地網(wǎng)絡(luò)的所有通信，以及不屬于云的WAN區(qū)域之間的通信。但是，最重要的位置是本地和云網(wǎng)絡(luò)終端（網(wǎng)關(guān)）之間。如此就可以檢查經(jīng)由云基礎(chǔ)架構(gòu)的所有本地通信（其中往往包含著很多關(guān)鍵服務(wù)的通信）。此外，檢查本地網(wǎng)段與VPN（WAN）區(qū)域之間的通信，用以檢查和防止攻擊者的活動(dòng)也是不錯(cuò)的選擇。

最后，本地的互聯(lián)網(wǎng)通信往往是直接轉(zhuǎn)發(fā)出去的，而不是經(jīng)由云環(huán)境發(fā)出的，所以，在外圍部署一個(gè)正確配置的IDS和IPS設(shè)備也是至關(guān)重要的。

基于主機(jī)與基于網(wǎng)絡(luò)

如果IDS/IPS設(shè)備分析經(jīng)過(guò)兩個(gè)或多個(gè)點(diǎn)之間的網(wǎng)絡(luò)通信，這稱為基于網(wǎng)絡(luò)的IPS/IDS。另一種IPS/IDS是基于主機(jī)的部署，這種安全設(shè)備分析經(jīng)過(guò)被監(jiān)視系統(tǒng)（端點(diǎn)）網(wǎng)絡(luò)接口的通信。雖然由于安裝和管理軟件的復(fù)雜性而導(dǎo)致其使用頻率不如基于網(wǎng)絡(luò)的IDS/IPS那么高，但它確實(shí)可以提供一種必要的更為精細(xì)的控制。由于虛擬機(jī)運(yùn)行在最常見(jiàn)的云平臺(tái)中，所以不會(huì)存在任何的兼容問(wèn)題。基于主機(jī)的IDS或IPS可以像監(jiān)視物理網(wǎng)卡一樣監(jiān)視虛擬網(wǎng)卡。對(duì)于已安裝的應(yīng)用程序來(lái)說(shuō)，操作系統(tǒng)不應(yīng)當(dāng)顯示出物理設(shè)備和虛擬設(shè)備之間的任何不同。

日志和SIEM

與被監(jiān)視通信相匹配的每條規(guī)則都會(huì)產(chǎn)生一個(gè)安全事件。在一個(gè)忙碌的網(wǎng)絡(luò)中，在繁忙的網(wǎng)絡(luò)出口和入口，IDS/IPS都會(huì)產(chǎn)生大量數(shù)據(jù)。這些數(shù)據(jù)需要存放并提供給一個(gè)系統(tǒng)用于分析，如提供給SIEM解決方案。

根據(jù)網(wǎng)絡(luò)布局的不同，數(shù)據(jù)的收集和存儲(chǔ)點(diǎn)可能位于云中，或位于企業(yè)自有的數(shù)據(jù)中心內(nèi)部。決定最高效的位置是就是衡量在什么地方可以達(dá)到高性能，并且還要關(guān)注云平臺(tái)供應(yīng)商的定價(jià)模式。無(wú)論怎樣，非常重要的一點(diǎn)是，要記住將數(shù)據(jù)發(fā)送到云或從云中發(fā)出都會(huì)消耗重要的帶寬。

結(jié)語(yǔ)

設(shè)計(jì)一個(gè)兼容云環(huán)境和本地網(wǎng)絡(luò)的IDS/IPS方案并不太難。如上所述，定義健全的簽名集并精心安裝設(shè)備對(duì)于正確實(shí)施是非常關(guān)鍵的。不過(guò)，企業(yè)首先需要做出的決策之一是，IDS/IPS中有多少功能是由云服務(wù)供應(yīng)商來(lái)提供的，有多少屬于自己的責(zé)任。這是一個(gè)衡量成本的問(wèn)題，也是一個(gè)涉及到合規(guī)需求的問(wèn)題。這個(gè)過(guò)程與遷移到云平臺(tái)中的任何其它服務(wù)并無(wú)不同。