為了因應現代企業大多有建置虛擬化伺服器,資安相關解決方案不管是專屬硬體設備,或是純軟體式提供,皆有額外再推出虛擬化版本,可直接整合在虛擬平台上運行。針對VMware技術環境推出的IBM Security Virtual Server Protection,即是由純軟體式的安全解決方案所演進,提供防火牆、入侵偵測防禦等機制。
IBM軟體事業處業務專案經理金天威說明,Virtual Server Protection是透過VMsafe來執行偵測與防禦,並非如同其他廠商是把安全機制建構在虛擬主機之上,再透過代理程式來執行,相較之下,Virtual Server Protection架構在Hypervisor層,直接監看各個虛擬主機的流量,會有較好的效能。
當客戶把應用系統漸漸轉移到虛擬平台後,就會又開始擔心隨之而生的存取控制安全方面的疑慮,對此,就需要利用工具協助監看虛擬主機之間的溝通狀態。「其實這可說是近年來企業端較在意的部份,因為虛擬環境太抽象,必須透明化檢視,因此需要藉由監看日誌來察覺運行的狀態與行為。」
 |
| ▲資安防護機制皆有因應虛擬化而推出新版本,但IBM軟體事業處業務專案經理金天威觀察到,實際建置時會採用虛擬化版本的其實不多,考量的重點在於執行運作效能,以及架構是否夠成熟穩定。 |
IBM Security QRadar SIEM即是用來蒐集、關聯分析各個虛擬主機所產生的日誌資料。金天威說明提到,QRadar的技術是由2011年收購Q1 Labs而來,其技術核心有兩種,一種是日誌的關聯分析,也就是安全資訊與事件管理(Security Information and Event Management,SIEM)平台;另一種技術是網路封包的流動。
「Workflow是一種Flow,網路也是一種Flow。只是網路的Flow跟資料的Flow不同,Workflow日誌是屬於靜態的,以文字檔案格式存在;網路封包的Flow則是動態。所謂的網路Flow就是在解析封包,像是網路設備都會有既定的網路封包格式規範,以前會由不同的解決方案來提供,現在的趨勢已是必須要同時擁有可蒐集這兩種資料能力,整合資料作歸納、分析、整理,才能讓視野變得更廣。」金天威進一步說明,因為日誌這類靜態資料的特性是有可能會被刪除、修改,往往不夠周全,但是網路封包幾乎不大會中斷,當資料流通過時,也可以從中取得資訊,再跟日誌資料做關聯,即可得到更明確的追蹤舉證效果。
他指出,QRadar最初就是專攻前述兩種技術的原生產品,相較於市場上透過產品組合而成的解決方案,較不致會遇到整合上的問題。此外,亦有提供可整合於虛擬環境設計的QRadar VFlow Collector,利用深度封包檢驗(Deep Packet Inspection)技術,蒐集彙整、比對分析Layer7所產生的封包資料,藉此及時發現惡意程式攻擊行為、病毒等資安事件,提出告警或供日後稽核。