Empresas fabricantes de soluções que combatem a invasão de sistemas (IPS – Intrusion prevention systems) têm tido dificuldades em atender companhias com estruturas virtualizadas. Porém, as empresas McAfee e Sourcefire, anunciam ter conseguido desenvolver sistemas que permitem a proteção de ambientes virtuais com esse recurso. Segundo a McAfee, o Network Security Platform v6, descendente do […]
Empresas fabricantes de soluções que combatem a invasão de
sistemas (IPS – Intrusion prevention systems) têm tido dificuldades em atender
companhias com estruturas virtualizadas. Porém, as empresas McAfee e Sourcefire,
anunciam ter conseguido desenvolver sistemas que permitem a proteção de ambientes
virtuais com esse recurso.
Segundo a McAfee, o Network Security Platform v6,
descendente do produto IntruShield IPS, foi incrementado com funções que
permitem examinar tráfego localizado atrás de máquinas virtuais. De acordo com
a empresa, um software do tipo agent-based, fica hospedado e em execução no hypervisor.
A tecnologia aplicada pela McAfee foi fornecida pela Reflex Systems.
Greg Brown, vice-presidente de Marketing para Segurança de Rede da McAfee explica como funciona o sistema. “O software agente da McAfee
reflete o tráfego da rede por um canal seguro até o hardware antes dos pacotes
chegarem à máquina virtual”, diz.
Para Brown, inspecionar o tráfego da rede antes dele chegar
ao hardware alivia a carga de trabalho da CPU – antes incumbida de
realizar essa inspeção. Por enquanto, a solução da McAfee suporta apenas
máquinas virtuais VMware, mas a empresa estuda estender a cobertura de sua
solução às plataforma Citrix e Microsoft.
Entre os possíveis clientes da McAfee estão, não apenas
empresas com estruturas virtualizadas, mas, também, organizações fornecedoras
de plataformas na nuvem. Já existem empresas provedoras de soluções de cloud
computing aplicando a tecnologia da McAfee. É o caso da Savvis, que adotou essa
solução em seus data centers.
O vice-presidente de segurança e de virtualização da
empresa, Ken Owens, afirma que um dos propósitos da adoção é limitar o volume
de tráfego que disponibilizam para análise. “O agente da McAfee examina o
conteúdo do tráfego antes de direcioná-lo ao IPS para um exame mais rigoroso de
seu conteúdo”, explica Owens.
Owens concorda com o fato de sempre haver preocupações
referentes às ofertas de fornecedores que prometem combinar tecnologias, pois
não se sabe se tal cooperação é algo que vá funcionar de forma robusta e
confiável.
Na perspectiva de Ownes, falta suporte às plataformas da
Microsoft e da Citrix, ambas na lista da Savvis para serem implementadas.
O gerente sênior de produtos da Sourcefire, Richard Park, afirma
haver integração entre as soluções IPS da Sourcefire e os produtos da VMware,
vShield App e vShield Edge.
Segundo ele, essa integração significa que, com
base no suporte ao vShield, o IPS pode receber informações sobre a violação de políticas
ocorridas dentro do ambiente virtualizado da VMware. Em resposta a tais
eventuais violações, o sistema pode realizar atualizações do firewall vShield.
Dean Coza, diretor de gestão de produtos na VMware, afirma
que a família vShield permite a distribuição de instâncias do firewall
localizados em cada host na forma de software, o que permite a criação de “zonas
de quarentena” dentro das máquinas virtuais. Essa solução atende, inclusive, ao
tráfego transportado com base no VMotion da VMware – algo que seria extremamente
difícil de fazer com a aplicação de firewalls físicos.
Sobre a integração com as APIs vShield, Coza afirma que isso
significa a possibilidade de produtos como os da Sourcefire poderem visualizar
os acontecimentos e interagirem com os controles vShield. O conceito baseia-se
em permitir que o IPS de determinado cliente suporte o servidor físico e a
instância virtualizada VMware. O executivo informa, ainda, que a VMware está em
negociação com a concorrente da Sourcefire, Tipping Point, da HP.
