本系列的开篇,我想与大家讨论在入侵侦测及防护功能部分的新功能。在整合 Lastline 方案前,原本 NSX 也有原生 IDPS 功能,于 3.0 版首度发布,3.1 版正式与客户进行介绍,目前我们也已经有一些客户实际使用于生产环境内,本篇内主要就 IDPS 于 NSX-T 3.2 版整合 Lastline 方案后的新功能与新架构进行说明。
整合 VMware 专家技术与全球数据库,实时进行威胁特征码更新
原本 NSX-T 3.1 版前的 IDPS 仅基于开放特征库的信息来进行威胁比对,更新也较慢。在 NSX-T 3.2 后,特征码数据库改由 Lastline 团队之安全专家进行维护、优化与更新,这里将相关部分整理如下:
· 来源包含了开放特征库如 Emerging Threat (ET) 以及 Trustwave Spiderlab (SLR),更增加了 VMware 实时由全球 Lastline sensor 收集并分析后的安全事件特征 (NSX)。 · 除了原本之特征码机制外,再加上基于 LUA Scripts 的程序码方式提供进一步优化比对。 · 大幅增加特征码更新频率至接近每日更新。 · 对应影响严重之攻击手法,将预设之防护行为(近六千种)直接改为 Reject。
在下图内对应到特征值的描述可看到,若前面显示为 NSX 的话代表为基于 VMware Lastline 专家团队更新的特征值,许多的预设 Action 也已改为 Reject,不需要用户手动一条条 review 与修改。因此,即使企业仅有启用 IDPS 功能,而未购买到 NSX ATP (Advanced Threat Prevention) 内的完整功能如前篇叙述的 Network Traffic Analysis (NTA) 及 Network Detection and Response (NDR),仍能享用到紧急安全事件快速更新的好处。
于闸道端亦提供 IDPS 功能
由 NSX-T 3.2.1 版开始,除了在每台 vSphere 内部署分散式 IDPS 功能外,也开始支持于 Tier-1 Gateway 上启用南北向 IDPS 功能。于闸道端启用 IDPS 功能除了提供管理者多一层前端防护的选项,更重要的是我们能将这边的防护功能延伸到实体环境。Gateway IDPS 底层运作于 NSX Edge 构件上,后端除了以 Overlay 方式连接到私有云环境,也可以直接透过底层 Vlan 与实体网络连接。如果客户要防护的重要应用还在实体服务器上,只要能将这些服务器的 预设闸道改指向 NSX 的 Tier-1 Gateway,此时 T1-Gateway 上的 IDPS 功能就能提供需求的安全保护功能。
安全事件整合入 NDR 界面提供完整事件分析
除了 IDPS 本身的 dashboard 可独立检视各个安全事件外,亦直接整合到 NDR 的事件检视界面内,连同恶意软件及网络行为分析等不同机制,统合提供完整的安全事件分析。下图内我们于 NDR 的 Campaign 界面内看到一连串相关的事件列表,里面看到黑客透过 Windows 作业系统的 ETERNALBLUE 弱点进行攻击,就是透过由 IDPS 侦测到的安全事件。
以上是在 NSX-T 3.2 后,于入侵侦测与防御相关更新功能的介绍。另外在授权与方案架构面多谈两句: · 企业若要采用 IDPS 功能,可以于现有的 NSX-T Advanced / Enterprise Plus 授权上新增 Threat Prevention 授权,或是在全新环境内,仅购买 NSX Firewall with Threat Prevention 安全授权,即可取得。 · IDPS 功能本身运作于 vSphere(分散式)或是 Edge(闸道式)上。无需 NSX Application Platform 即可运作。 入侵侦测与防御方案的新机制讨论就先到这边。下篇开始与大家就进阶威胁防护这边的全新功能,由恶意软件比对 (Malware Prevention) 开始进行说明。
本文转载自VMware公众号