Система предотвращения вторжений (IPS) — это средство сетевой безопасности (может быть аппаратным устройством или программным обеспечением), которое непрерывно отслеживает вредоносную активность в сети и принимает меры для ее предотвращения. В частности, она формирует отчеты, блокирует или отключает вредоносные действия, если они действительно происходят.
IPS имеет больше возможностей, чем система обнаружения вторжений (IDS), которая просто выявляет вредоносную активность, но не может предпринимать никаких действий по ее устранению, кроме оповещения администратора. Системы предотвращения вторжений иногда являются частью брандмауэра нового поколения (NGFW) или комплексного решения для управления угрозами (UTM). Как и многие технологии сетевой безопасности, они должны быть достаточно мощными, чтобы сканировать большой объем трафика без снижения производительности сети.
Система предотвращения вторжений является встроенным средством, которое размещается в потоке сетевого трафика между источником и местом назначения, обычно располагаясь сразу за брандмауэром. Есть несколько методов, которые системы предотвращения вторжений используют для выявления угроз:
Как только система IPS обнаруживает вредоносную активность, она может выполнять множество автоматизированных действий, в частности оповещать администраторов, предотвращать потерю пакетов, блокировать трафик с исходного адреса или сбрасывать соединение. Кроме того, некоторые системы предотвращения вторжений используют так называемую «ловушку для хакеров», то есть ложные ценные данные, чтобы привлечь злоумышленников и не дать им достичь своих целей.
Есть несколько типов IPS. Предназначение каждого типа несколько различается.
Система предотвращения вторжений имеет множество преимуществ, в том числе следующие:
Есть несколько причин, по которым IPS является одним из ключевых элементов любой системы корпоративной безопасности. Современная сеть имеет множество точек доступа и работает с большим объемом трафика, что делает мониторинг и реагирование вручную невозможными. (Это особенно важно, когда речь идет о безопасности облака, где среда с большим количеством подключений может представлять собой увеличенную площадь атаки и, следовательно, создавать повышенную уязвимость для угроз.) Кроме того, угрозы, с которыми сталкиваются системы корпоративной безопасности, становятся все более многочисленными и сложными. Автоматизированные возможности IPS очень важны в этой ситуации, поскольку они позволяют организации быстро реагировать на угрозы, не создавая нагрузки на ИТ-отдел. Как компонент инфраструктуры безопасности организации IPS является одним из самых важных средств, помогающий предотвратить ряд самых серьезных и сложных атак.
Важно помнить, что IPS — это только часть надежного решения по обеспечению безопасности: для максимальной эффективности ее необходимо использовать вместе с другими технологиями. Фактически системы предотвращения вторжений часто предлагаются как одна из возможностей комплексного решения для управления угрозами или брандмауэра нового поколения, хотя они также могут быть автономными. В стандартной архитектуре безопасности IPS обычно находится сразу за брандмауэром и работает вместе с ним, чтобы обеспечить дополнительный уровень безопасности и обнаружить угрозы, которые брандмауэр не может выявить самостоятельно. Кроме того, IPS помогает защитить другие средства управления безопасностью от атак, а также повышает эффективность этих средств за счет фильтрации вредоносного трафика до того, как он достигнет их. Что наиболее важно, IPS предоставляет дополнительный уровень защиты за счет выявления и фильтрации угроз, которые другие компоненты инфраструктуры безопасности не могут обнаружить.
VMware NSX Data Center предоставляет комплексную платформу виртуализации сети уровней 2–7 и системы безопасности, что дает возможность управлять всей сетью из единой консоли.
Сделайте следующий шаг в области корпоративных сетей и безопасности. Подключите все устройства в распределенной среде с помощью программного уровня, который объединяет ЦОД, облако и периметр.
AppDefense не выполняет активный поиск угроз, а анализирует требуемое состояние и поведение приложений и отслеживает изменения этого состояния, которые указывают на наличие угрозы.
Ускорьте развертывание приложений за счет автоматизации инициализации и администрирования служб сети и безопасности в течение всего жизненного цикла приложений в различных облачных средах.
Обеспечьте согласованность параметров сети и системы безопасности для приложений, выполняемых в публичных облаках, с помощью NSX Cloud.
VMware NSX ускоряет развертывание приложений за счет автоматизации управления сетью и безопасностью. Чтобы узнать больше, прочтите статьи в блогах, написанные ИТ-специалистами VMware. Эти записи помогут...