Dzięki wysokiej wydajności IPS i uproszczeniu kierowania ruchem w wirtualizowanym środowisku, rozwiązanie to może być zastosowane nie tylko w środowiskach korporacyjnych, ale także przez operatorów hostingowych, którzy będą świadczyć usługi ochrony maszyn wirtualnych za pomocą urządzeń IPS. Wstępną selekcję ruchu pod kątem analizy może wykonywać agent, ale najpoważniejsze zadanie dogłębnej analizy wykona już zewnętrzny IPS. Przykładem firmy, która stosuje to w praktyce, jest operator usług cloud computing, firma Savvis.

Zewnętrzny IPS, API VMware

Dla środowiska VMware powstaje coraz więcej rozwiązań ochrony, nad jednym z nich pracuje firma Sourcefire. Najważniejsze przeszkody techniczne zostały już rozwiązane, istnieje integracja między IPS Sourcefire oraz VMware vShield App oraz vShield Edge.

VMware posiada zaporę sieciową vShield, która jest zintegrowana z hypervisorem w ten sposób, że może monitorować ruch między poszczególnymi maszynami wirtualnymi. Nie ma ona jednak funkcjonalności IPS. Z kolei vShield Edge jest maszyną wirtualną, która dostarcza funkcjonalności zapory sieciowej, koncentratora VPN, load balancera dla aplikacji webowych oraz innych funkcji, dzięki którym w wielu przypadkach zbędne okazują się wirtualne podsieci.

Integracja IPS Sourcefire ze środowiskiem wirtualizacji oznacza, że IPS, dzięki wsparciu vShield API, może otrzymywać informacje o naruszeniu założeń polityki bezpieczeństwa w środowisku VMware i podejmować takie akcje jak aktualizacja ustawień zapory vShield App. Zatem IPS może wykrywać naruszenia polityki vShield, na przykład wykorzystywanie nieautoryzowanych aplikacji sieciowych, niestandardowych portów lub próby niedozwolonego dostępu do chronionego hosta. Zależnie od ustawień polityki podejmowane akcje mogą obejmować blokowanie transmisji poprzez dynamiczne konfigurowanie reguł vShield App lub vShield Edge. Restrykcje te mogą być także zdejmowane po upływie zadanego czasu.

W ten sposób można osiągnąć funkcjonalność odpowiadającą rozproszonemu środowisku zapór sieciowych, które logicznie są połączone z każdą maszyną wirtualną, umożliwiając wprowadzenie stref kwarantanny oraz blokowanie niepożądanego ruchu. Środowisko to jest całkowicie przenośne niezależnie od przenoszenia maszyn między fizycznymi hostami - jest to bardzo trudne w realizacji za pomocą sprzętowych IPS-ów bez dodatkowego oprogramowania.

Integracja przy użyciu vShield API oznacza także, że produkt taki jak Sourcefire może analizować ruch i sterować ustawieniami zapór za pomocą vShield. Idea ta zakłada wykorzystanie także IPS innych firm, nawet już wdrożonych, do obsługi zarówno systemów uruchomionych bezpośrednio na sprzęcie, jak i w środowisku VMware. Wiadomo także, że VMware współpracuje z HP TippingPoint przy rozwoju rozwiązań wykorzystujących tę samą zasadę pracy.