云中IDS和IPS

引言： 正确配置和部署的IDS或IPS属于安全控制机制不可缺少的重要部分。IDS或IPS基本上是通过被动监听网络通信或内联到网络通信而运行的，还要将这些通信与全面涉及可疑和恶意通信签名的规则集进行匹配。在匹配发生时，入侵检测系统（IDS）可以触发警告，而IPS还会阻止通信。在一个第三方的云网络中，监听网络通信有点儿复杂。但是有一些选择可以使得云环境中的IDS和IPS控制成为一种可用和可行的选择。

深度防御是一种在网络内部创建多层防御系统的方法。每一层防御都应当实施一种或多种不同的安全控制，由此构建了一种几乎不留有任何漏洞的安全环境，从而使攻击者无法利用漏洞来破坏目标网络。正确配置和部署的IDS或IPS应当属于安全控制机制不可缺少的重要部分。IDS或IPS基本上是通过被动监听网络通信或内联到网络通信而运行的，还要将这些通信与全面涉及可疑和恶意通信签名的规则集进行匹配。在匹配发生时，入侵检测系统（IDS）可以触发警告，而IPS还会阻止通信。在一个第三方的云网络中，监听网络通信有点儿复杂。但是有一些选择可以使得云环境中的IDS和IPS控制成为一种可用和可行的选择。

部署

对于成功的IDS或IPS部署和运行而言，有两个主要因素，即已部署的签名和经过的网络通信。网络通信需要与已部署的签名相关（例如，如果Drupal服务并没有存在于企业网络中，为什么要检查这种通信呢？）。这意味着，设备的安置很关键。例如，设备是否应当全面控制互联网的外围或者控制内部子网间的通信？在传统上，常见的情况是在外围防火墙（有大量的签名集）后至少安装一台设备，并在不同内部的DMZ或LAN区段（拥有不太多的定制的签名集）之间安装几个其它设备。

完全的或混合的云部署还要求正确安装设备，以确保所有的相关通信（包括云的内部通信）都可被监控到。

云服务供应商的服务(第三方)

多数大型的云服务供应商都将提供自己的安全服务作为云平台产品的一个附属。其中往往包括预配置虚拟设备上的IDS和IPS系统。考虑到网络的架构会非常灵活，并且还可以利用能够感知云的IDS和IPS设备，这是一种不错的解决方案。当然，通过诸如SIEM作为服务或第三方的SOC解决方案也可以做得更好。另一方面，如果需要一种不同的更为传统的产品或者是需要更多控制，将客户自有设备放置在公有云中，并由管理系统和SSH或HTTPS等进行控制，也是可能的。

客户管理设备

不管如何，在混合环境中，客户的管理设备（IPS及IDS）都需要覆盖本地网络的所有通信，以及不属于云的WAN区域之间的通信。但是，最重要的位置是本地和云网络终端（网关）之间。如此就可以检查经由云基础架构的所有本地通信（其中往往包含着很多关键服务的通信）。此外，检查本地网段与VPN（WAN）区域之间的通信，用以检查和防止攻击者的活动也是不错的选择。

最后，本地的互联网通信往往是直接转发出去的，而不是经由云环境发出的，所以，在外围部署一个正确配置的IDS和IPS设备也是至关重要的。

基于主机与基于网络

如果IDS/IPS设备分析经过两个或多个点之间的网络通信，这称为基于网络的IPS/IDS。另一种IPS/IDS是基于主机的部署，这种安全设备分析经过被监视系统（端点）网络接口的通信。虽然由于安装和管理软件的复杂性而导致其使用频率不如基于网络的IDS/IPS那么高，但它确实可以提供一种必要的更为精细的控制。由于虚拟机运行在最常见的云平台中，所以不会存在任何的兼容问题。基于主机的IDS或IPS可以像监视物理网卡一样监视虚拟网卡。对于已安装的应用程序来说，操作系统不应当显示出物理设备和虚拟设备之间的任何不同。

日志和SIEM

与被监视通信相匹配的每条规则都会产生一个安全事件。在一个忙碌的网络中，在繁忙的网络出口和入口，IDS/IPS都会产生大量数据。这些数据需要存放并提供给一个系统用于分析，如提供给SIEM解决方案。

根据网络布局的不同，数据的收集和存储点可能位于云中，或位于企业自有的数据中心内部。决定最高效的位置是就是衡量在什么地方可以达到高性能，并且还要关注云平台供应商的定价模式。无论怎样，非常重要的一点是，要记住将数据发送到云或从云中发出都会消耗重要的带宽。

结语

设计一个兼容云环境和本地网络的IDS/IPS方案并不太难。如上所述，定义健全的签名集并精心安装设备对于正确实施是非常关键的。不过，企业首先需要做出的决策之一是，IDS/IPS中有多少功能是由云服务供应商来提供的，有多少属于自己的责任。这是一个衡量成本的问题，也是一个涉及到合规需求的问题。这个过程与迁移到云平台中的任何其它服务并无不同。