究竟有多少企業導入伺服器虛擬化技術?HP資訊安全事業部北亞區資深技術協理蕭松瀛從實際市場觀察,大約有八成左右的客戶皆有建置,而這些用戶雖然關注虛擬化安全問題,著眼點卻仍舊是以傳統防火牆、IPS為主。但其實目前最大的挑戰是虛擬主機之間的溝通狀態無法監控,攻擊行為又多數是發生在虛擬主機,僅仰賴閘道端的邊界無法清楚掌握虛擬主機之間傳遞的資訊,於是HP提出整合Hypervisor的TippingPoint vController,讓外部的TippingPoint設備藉此介接,監看並控管虛擬伺服器內部的網路行為。
針對攻擊行為主要管道的網頁應用程式,HP與一般WAF解決方案不同之處,是直接從原始碼或ByteCode的分析檢測來預防攻擊行為發生。「在應用程式正式上線運作之前,不管是委外廠商或者自行開發的程式碼,可以經由Fortify on Demand的雲端服務上傳檢測,當然事前會透過簽訂保密合約,以免產生新的安全問題;線上運作則可利用WebInspect執行漏洞掃描,一旦掃描報告中顯示出現漏洞,WebInspect會先行通報TippingPoint產生特徵碼來抵擋,讓開發人員有充裕的時間修改補強。」
 |
| ▲HP資訊安全事業部北亞區資深技術協理蕭松瀛提醒,虛擬化至今已成為IT基礎架構中的一環,要確保實體與虛擬環境皆安全無虞,必須藉助資安事件資訊的整合,築起安全防禦網。 |
至於虛擬主機中常見像是防毒軟體、DLP(資料外洩防護)等防護機制,HP的資安解決方案雖無法全數涵蓋,卻可藉由ArcSight平台整合監看各種環節中所產出的訊息。「HP的目的是建立一個類似大腦的運作,一個智慧型(Security Intelligence)的安全防禦網。透過TippingPoint發現攻擊事件,以及ArcSight內建的Reputation Security Monitor(RepSM)資料庫,結合其他資安產品來一同抵禦攻擊行為。」蕭松瀛強調。
RepSM資料庫的來源,是搜集全球用戶遭遇的攻擊事件行為模式,每兩個小時更新到所有用戶端;另外,既有持續在研究資安漏洞的DVLabs,原本只是結合TippingPoint,如今在ArcSight平台同樣可運用。
尤其是正在虛擬主機上提供服務的應用系統,可藉由Fortify提供的Real-Time Analyzer機制,偵測應用程式執行行為是否出現異常,例如發生嘗試登入、SQL Injection、Cross Site Scripting等事件。此機制可在應用程式執行行為發生時,追蹤與監看包括執行程序所觸發的ByteCode或資料庫語法,是否符合該應用程式運作邏輯的正常行為,一旦發現異常即可阻斷該程式繼續執行。這些經由Real-Time Analyzer所產生Log,同時會被送到ArcSight做進一步的關聯分析,亦可通知
TippingPoint設備進行阻擋。