Системы обнаружения вторжений на уровне хоста в облачных сервисах

В то время как сетевые системы обнаружения вторжений осуществляют мониторинг сетевого трафика, пытаясь обнаружить аномальный трафик и подозрительную активность, системы обнаружения вторжений на уровне хоста (host intrusion

1 На сегодняшний день количество вирусов настолько велико, что большинство разработчиков антивирусного ПО не в состоянии обеспечить защиту от каждого из них. Они знают об этом и полагаются на то, что и вы понимаете, что их продукт обеспечит защиту только от известных (опубликованных) вирусов.

detection system, HIDS), например такие, как OSSEC1, наблюдают за состоянием вашего сервера с целью обнаружения чего бы то ни было необычного. Системы HIDS во многих отношениях работают по аналогии с антивирусными системами, за исключением того, что они исследуют систему на все признаки компрометации и уведомляют вас обо всех случаях изменения файлов операционной системы или системных сервисов.

ВНИМАНИЕ!

Я могу неоднозначно относиться к развертыванию в облачной среде сетевых систем обнаружения вторжений (NIDS) и антивирусных систем (AV), но я — убежденный сторонник систем обнаружения вторжений на уровне хоста (HIDS), и особенно в облачной инфраструктуре. Я считаю, что без HIDS вы не должны выполнять развертывание серверов в облачной среде.

В моих системах Linux, которые я развертываю в облачной среде, я в основном пользуюсь OSSEC (http://www.ossec.net). OSSEC имеет два конфигурационных профиля:

± независимый (standalone), при котором каждый сервер сканирует себя самостоятельно и высылает вам предупреждения;

± централизованный  (centralized),  при котором вы создаете централизованный сервер HIDS, на который каждый из остальных серверов направляет отчеты.

В облачной инфраструктуре вы всегда должны выбирать централизованную конфигурацию. Она централизует все ваши правила и выполнит анализ таким образом, чтобы серьезно упростить для вас поддержание инфраструктуры HIDS в актуальном состоянии. Более того, централизованная конфигурация позволит вам разработать профиль безопасности повышенного уровня, обеспечивающий большую степень защиты отдельных сервисов, чем независимые профили. Облачная инфраструктура, использующая централизованную систему HIDS, представлена на рис. 5.5. Как и в случае с решением, использующим антивирусное программное обеспечение, вы должны постоянно заботиться о поддержании ваших серверов HIDS в актуальном состоянии, но при этом у вас нет необходимости в таком частом обнов-

лении отдельных серверов, как в случае с использованием антивирусного ПО. "Оборотной стороной медали" в случае применения HIDS является то, что та-

кие системы очень требовательны к ресурсам CPU, и, таким образом, могут потреблять значительную часть вычислительных мощностей на вашем сервере. При использовании модели централизованного сервера вы можете передать на центральный сервер большую часть задач, выполняемых специализированным сервером обнаружения вторжений.

1 OSSEC (Open Source Host-based Intrusion Detection System) — это бесплатная система обнаружения вторжений на уровне хоста, основанная на открытом коде (Open Source). Она предоставляет такие возможности, как анализ файлов журнала, проверку целостности, выявление руткитов (rootkit), превентивного оповещения и активной реакции на начавшуюся атаку. Существуют версии OSSEC для большинства популярных операционных систем, включая Linux, OpenBSD, FreeBSD, Mac OS X, Solaris и Windows. Подробнее см. http://en.wikipedia.org/wiki/OSSEC, http://www.ossec.net/, http://tinyurl.com/2w3qq79. — Прим. перев.

Рис. 5.5. Централизованная система HIDS в облачной инфраструктуре

Источник: Риз Дж., Облачные вычисления: Пер. с англ. — СПб.: БХВ-Петербург, 2011. — 288 с.: ил.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете промотать до конца и оставить ответ. Pinging в настоящее время не допускается.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100