IBM Security Virtual Server Protection Intrusion Prevention System Unified Threat Management Full Virtualization Virtual Machine Virtualization HP TippingPo Hypervisor Fortinet vSwitch 伺服器虛擬化 入侵防護系統 虛擬主機 VLAN 趨勢科技 防火牆 IPS UTM IBM HP 資安

事件關聯日誌分析 掌握虛擬環境安全大小事

2013-07-15
為了因應現代企業大多有建置虛擬化伺服器,資安相關解決方案不管是專屬硬體設備,或是純軟體式提供,皆有額外再推出虛擬化版本,可直接整合在虛擬平台上運行。針對VMware技術環境推出的IBM Security Virtual Server Protection,即是由純軟體式的安全解決方案所演進,提供防火牆、入侵偵測防禦等機制。
IBM軟體事業處業務專案經理金天威說明,Virtual Server Protection是透過VMsafe來執行偵測與防禦,並非如同其他廠商是把安全機制建構在虛擬主機之上,再透過代理程式來執行,相較之下,Virtual Server Protection架構在Hypervisor層,直接監看各個虛擬主機的流量,會有較好的效能。

當客戶把應用系統漸漸轉移到虛擬平台後,就會又開始擔心隨之而生的存取控制安全方面的疑慮,對此,就需要利用工具協助監看虛擬主機之間的溝通狀態。「其實這可說是近年來企業端較在意的部份,因為虛擬環境太抽象,必須透明化檢視,因此需要藉由監看日誌來察覺運行的狀態與行為。」

▲資安防護機制皆有因應虛擬化而推出新版本,但IBM軟體事業處業務專案經理金天威觀察到,實際建置時會採用虛擬化版本的其實不多,考量的重點在於執行運作效能,以及架構是否夠成熟穩定。
IBM Security QRadar SIEM即是用來蒐集、關聯分析各個虛擬主機所產生的日誌資料。金天威說明提到,QRadar的技術是由2011年收購Q1 Labs而來,其技術核心有兩種,一種是日誌的關聯分析,也就是安全資訊與事件管理(Security Information and Event Management,SIEM)平台;另一種技術是網路封包的流動。

「Workflow是一種Flow,網路也是一種Flow。只是網路的Flow跟資料的Flow不同,Workflow日誌是屬於靜態的,以文字檔案格式存在;網路封包的Flow則是動態。所謂的網路Flow就是在解析封包,像是網路設備都會有既定的網路封包格式規範,以前會由不同的解決方案來提供,現在的趨勢已是必須要同時擁有可蒐集這兩種資料能力,整合資料作歸納、分析、整理,才能讓視野變得更廣。」金天威進一步說明,因為日誌這類靜態資料的特性是有可能會被刪除、修改,往往不夠周全,但是網路封包幾乎不大會中斷,當資料流通過時,也可以從中取得資訊,再跟日誌資料做關聯,即可得到更明確的追蹤舉證效果。

他指出,QRadar最初就是專攻前述兩種技術的原生產品,相較於市場上透過產品組合而成的解決方案,較不致會遇到整合上的問題。此外,亦有提供可整合於虛擬環境設計的QRadar VFlow Collector,利用深度封包檢驗(Deep Packet Inspection)技術,蒐集彙整、比對分析Layer7所產生的封包資料,藉此及時發現惡意程式攻擊行為、病毒等資安事件,提出告警或供日後稽核。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!