扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:边歆 来源:网界网 2008年11月16日
关键字:
1、值得为服务器虚拟化去冒险吗?
从传统服务器迁移到虚拟机(VM)环境的好处是通过硬件整合和卓越的灵活性来节省费用。但是,这样也许会带来一些不好的结果,包括:安全间隙和虚拟服务器泛滥,这些都会引起审计人员的注意。
BT Group公司新兴技术办公室高级顾问、支付卡行业标准审计员Douglas Drew说:“VM安全性常常在事后才引起人们的注意。用户如何进行访问控制或审计?假设我将一个虚拟机实例从机架A迁移到机架B:一台机架是一台需要物理证章来连接控制台的锁定机架,而另一台则不是吗?
VM系统管理程序允许隔离管理员A和B,使管理员A只能逻辑地接触系统A,管理员B只能接触系统B吗?用户如何根据架构变化修改风险评估?”
Drew表示,同更传统的网络一样,VM环境不管是基于VMware、XenSource还是Microsoft的系统,都需要执行ISO 27002安全系统标准规定的最佳实践。他说:“我们看到了一些案例。在这些案例中,人们由于不理解这点而在采用VM上行动缓慢。”许多人说,不经过定制的VM软件不能满足安全性的需要。
Embotics公司是一家生产VM生命周期管理软件的新兴厂商。该公司营销副总裁David Lynch说:“虚拟机是可移动的,它们被设计为可移动的。
用户克隆了一台物理服务器之后将其拿走。用户失去了这台物理服务器的身份,而用户已有的管理工具是基于你拥有物理服务器的概念的。”
Lynch认为,按照当今的设计,由于身份号可以修改和复位,因此VMware的VirtualCenter管理不能阻止VM泛滥。他补充说,确保使用一个以上的VirtualCenter的企业拥有唯一的VM ID系统是不可能的。
与VirtualCenter 配合使用的Embotics软件试图利用密码学散列函数以及元数据打下一个合法的和可信的VM ID标记来弥补不足。其他一些新兴厂商,包括Fortisphere和ManageIQ也在设法解决VM泛滥问题。
一些安全厂商深信,主要VM软件开发商正争先恐后地将推出产品来争夺市场份额,而这导致了Q1 Labs公司产品计划经理Andrew Hay所说的“安全性是事后才想到的问题”。
Hay指出,现在没有NetFlow使能的虚拟交换机来帮助进行活动监测。Hay说:“用户创建一个恰巧运行在一台机器上的独立的网络。但是,没有人尝试做虚拟化世界中的流量分析。”这会阻止IT经理走虚拟化之路吗?据Hay说,结论是:“最好在起步之前,研究你的选择。”
2、阻止数据泄露招来了律师?
数据丢失防护(DLP)――或所谓的数据泄露防护使用户可以监测非授权传输的内容。但是,使用过这项技术的企业会发现DLP照亮了企业网络更黑暗的角落,以致IT和业务经理可能发现自己处于管理和法律风险中。
信用信息服务机构Equifax公司信息安全高级副总裁Tony Spinelli在描述在他的公司中Symantec DLP部署的早期日子时说:“你跳出忽视风险的火坑,又跳进遵从性风险的陷阱。”
这迫使业务和IT管理人员进行改革。更多的安全经理会发现,一旦挑剔的审计人员知道部署了DLP工具,他们就会要求进行安全改革,而忽视这些安全改革的企业将面临法律风险。
那么,这种“看到一切,知道一切”,以及DLP仍很昂贵的事实足以成为吓走潜在购买者的缺点吗?也许,但这将意味着放弃最有发展前景的内容监测方法,而这种办法是帮助企业摆脱管理和法律麻烦所真正需要的。
安全经理在提前了解DLP可能是一种颠覆性技术后,可以制定培训业务经理(他们在大多数企业眼中是合法的数据所有者)以及审计员和法律人员的计划。
最近离开MedStar Health加盟Amtrak担任首席信息系统官的Ron Baklarz是一位有着使用DLP经验的安全专业人士。他说,他在使用MedStar所采用的Reconnex DLP时所采取的方式是让业务人员参与数据监管过程。
Baklarz建议说:“你必须与他们在遵从性上开展合作。”让经过授权的业务人员登录DLP系统,使他们可以积极参与数据丢失防护工作。
3、云中的安全性:梦想还是危险?
据Gartner分析师John Pescatore说,云中的安全服务,无论是电子邮件、拒绝服务(DoS)防护、安全漏洞扫描还是Web过滤,是取代购买软件或设备时采用的DIY方式的选择。
Pescatore建议说,首先,需要考虑企业云中安全服务的两个基本类型。第一个是基于带宽的服务,如Internet服务提供商,或基于运营商的DoS防护和响应。
Pescatore说:“例如,AT&T公司能够比你更好地、更廉价地做这件事,此外他们还利用他们的带宽在更上游的位置过滤掉攻击。另一种选择是从像Arbor Networks这样的公司购买防DoS设备,并靠自己建立保护防线。”
Pescatore表示,第二种云中服务是Gartner喜欢称之为的“安全服务化”,它“完全与带宽服务脱钩”。例如,利用反垃圾邮件服务涉及将MX记录改向提供给服务提供商,但不需要与单一运营商绑在一起的特定的带宽服务。
这种类型的服务包括垃圾邮件与杀病毒过滤、安全漏洞扫描以及Web过滤。一般来说,它不包括的是DLP内容监测与过滤,或身份访问与管理,这些功能与内部业务改变紧密相连。
Pescatore说,使用云中的安全服务化在保护移动便携机或为分布很广的分支办事处提供保护上具有很大的价值。他说:“它对非常大的跨国企业具有很强的吸引力。”
但是,多数公司可能会发现继续通过部署自己的安全设备过滤垃圾邮件、病毒和限制Web访问来保护内部运营是一种更方便和高性价比的方式。
过滤服务存在着潜在风险。你可能不愿意通过这类第三方服务传送敏感的业务交易。并且,永远存在服务可能不再可供使用的可能性。
Pescatore说,所有这些云中服务仍相当新。他只是在过去3年里看到随着MessageLabs、Microsoft、Google的Postini和Websense加入到提供这类服务的厂商的行列中。Gartner估计,云中安全服务在整个安全市场中所占份额不超过20%,但将在今年年底增加到35%,并在2013年时猛增至70%。
据调研公司IDC说,去年,这个市场的电子邮件安全软件细分规模为13.8亿美元,专用设备细分为6.922亿美元。云中服务(IDC称之为托管服务)细分为4.54亿美元。软件和专用设备细分预计将继续稳步增长,托管服务市场细分规模将在今年增加至6.38亿美元,2011年达到13.9亿美元。
云中服务的这种扩展大大鼓舞了Jericho论坛。这是个由60多家企业组成的组织,这些企业一直在积极推动扩展到传统企业边界之外的创新的电子商务安全性。
Jericho论坛董事会成员Paul Simmonds说:“云中的Web过滤只是在过去16个月中才刚刚起飞。今天比几年前有了更多的云中服务。” Simmonds说,企业网络中“正消失的边界”将使云中安全服务成为今天许多企业探索的诱人的选择。
4、Microsoft会正确对待安全性吗?
在Bill Gates最后一次在RSA 2007大会上出现在公众面前时,他与Craig Mundie(Gates将指挥公司产品安全发展方向的指挥棒交给了他)同台亮相。这两个人以自我批评的口吻解释了Microsoft的软件为什么达不到要求的原因。
两个人指出过去Microsoft软件缺少安全性的原因可以追溯到早期年代的一种天真的想法。这种想法认为由于“所有人都是善良的”并且数据中心似乎被谨慎地保护起来,所以不需要多少控制。
Nemertes Research公司高级副总裁、创建合伙人Andreas Antonopoulos认为,几十年积累下来的包袱仍是Microsoft的负担。他说:“甚至在今天,25年前做出的基本设计决策仍困扰着Microsoft。Windows Vista不是一种新操作系统。在Vista外衣下有很多老的操作系统,为了确保应用的向后兼容性,Vista承担了过去20年积累的负担。”
Antonopoulos认为,Microsoft处于一种两难境地。如果这家公司的确决定在软件上重起炉灶,它可能不得不牺牲财务优势。他说:“这种事不可能发生。”
Burton Group分析师Dan Blum表达了类似观点,他说:“从这个意义上讲,他们是受害者。他们在思想上受到向后兼容性的限制。几年前,Microsoft曾在所谓的下一代安全计算基础(NGSCB)项目中寻求与过去决裂,但Microsoft停止了这个项目。”
Microsoft仍沿着“方便性、灵活性和向后兼容性”的道路前进,而这使得Microsoft在市场中具有最大的优势。Blum假设如果他是Gates,他会尝试一种“并行方式”来开发下一代可信任的操作系统,即使与已有应用决裂。
“在另一些方面,Microsoft总体上制定了一种可行的身份战略,但受到其以Windows为中心的方式的束缚。”Blum说,“他们永远不会批准任何不同的平台。例如,Microsoft缺少对SAML标准的支持就是个大错误,不符合软件行业的最大利益。”
Antonopoulos认为,Linux、Unix和Macintosh操作系统在发货时具有比Microsoft产品更好的“安全设计状态”。
不过,Antonopoulos和Blum都认为Microsoft在Vista和XP2上有了改进。
“问题在于Microsoft造成了一种坏的声誉,摆脱这种恶名很难。”Antonopoulos说。Microsoft拥有大量掌握着身份和信任专业知识的天才工程师,但他们在工程会议上表达的想法却很少被采用到Microsoft软件中。他补充说:“我认为这些想法肯定被驳回了。”
对于一些与Microsoft密切合作的第三方安全软件提供商来说,有时也是很难受的。
生产用于Microsoft桌面和服务器产品的口令和管理员管理工具的Lieberman Software公司总裁Phil Lieberman说:“这一直就是个过山车。
Microsoft面临的问题是它不仅仅是一个公司;它是走在不同的道路上相互打架的存在分歧的多个公司。”
Lieberman说,在一些Microsoft部门中,如那些管理CRM或Office产品的部门,不存在为安全性与第三方应用合作的努力,而核心操作系统部则更开放。
但是,与Microsoft合作(这可能是获得正式Microsoft认证所必需的)的更令人生气的部分是这家公司不更新技术文件。
Lieberman说:“很大一部分操作系统没有记录到文件中。他们前进的速度很快,发行那么多的版本和更新,没有人记录他们在做什么。例如,如果Microsoft为周二补丁发布修改某个东西并且数据链接库被修改了,他们不愿修改文件,而你的应用则不能使用。我们不得不研究这个问题,结果发现他们修改了它。”
尽管承认Microsoft不良的记录,但另一些记录却让人稍感安慰。
Symantec公司安全响应部经理Oliver Friedrichs说:“Microsoft进行改进的努力产生了正面影响。我们必须在改进操作系统安全性上给Microsoft一些表扬。”
过去几年里,没有出现过像Code Red、Blaster和Nimbda这样的利用Microsoft产品存在的漏洞在世界范围造成重大破坏的灾难性的蠕虫攻击。
Friedrichs补充说:“今天的攻击者将注意力放在第三方Web插件上。”
SystemExperts公司总裁Jon Gossels说:“很容易选择Microsoft产品作为攻击目标,因为它们无处不在,而且历史上存在问题。但是他们的产品每年都在改进,有很多专业人员在努力寻找产品存在的隐患。”
5、NAC:你的防火墙足够用了吗?
网络访问控制(NAC)并不是为所有人准备的,但它可以成为控制个人获得网络接入环境的有价值的工具。
NAC可以在对终端进行全面的检查后,再允许终端进入企业网络。这类检查有助于那些要求合法终端必须被正确配置的企业。
大多数NAC平台不仅执行这种功能,而且还记录执行过程,而这是不同管理规定(如PCI标准和医疗保险便携与责任法)所要求的。
如果企业拥有经常使用它们的网络的全职雇员、承包商和客户构成的多样化的用户群体,NAC可以帮助确保他们用来连接的设备符合配置政策。
对于达不到要求的机器,NAC可以修补它们,隔离它们或批准它们访问只有有限资源并且它们只能造成有限破坏的网段。
同样,必须按部门或职能划分网络的企业可以利用NAC中的授权控制将访问权限控制在相当精细的水平上。
Forrester Research公司分析师Rob Whitely说:“如果公司面临多种遵从性要求(Sarbanes-Oxley法、PCI、HIPAA),拥有多样化的劳动大军(雇员、承包商、远程工作人员、合作伙伴、供应商)和全球运营(需要按地区、业务单位以及其他情况划分环境),那么NAC最终将成为分层安全架构中的元素。”
这种分层的安全架构较少依赖于作为主要防线的周边防火墙,而更多的依赖于寻求减少威胁的不同的安全层。他说,NAC并不是必需的,但是它将成为这些新安全架构的至关重要的组成部分。
多数网络没有NAC仍可以存在下去。这项技术防止受到损害的机器获得网络接入以及减少如果它们得逞所造成的破坏。但它并不能保证安全性。
NAC是为应对传统的3层防火墙不能对付的威胁而生的,现在出现了NAC不能对付但可以做出重要贡献的威胁。
Whiteley说:“问问你自己:你的防火墙足够用了吗?如果够用了,很可能就不需要NAC了。NAC提供额外的主机完整性检查,但这除了更细粒度的认证和授权之外(这些实际上只是试图弥补今天防火墙存在的不足),没有提供其他的价值。”
6、IT解决了补丁管理问题了吗?
补丁和安全漏洞管理工具可以承担检测和保护一个基本上静态的、受控的环境中存在漏洞的机器的任务。这一技术领域被认为是IT经理中的重点任务。IT经理很可能用了很多年时间来完善他们的漏洞扫描、补丁测试和软件分发过程。
据Enterprise Management Associates公司的一项调查显示,接受调查的250位IT经理中的76%使用某种补丁管理产品,并说打补丁是个非常重要的过程。VanDyke Software的第五次年度企业安全调查采访了300位网络管理员。调查发现30%的人仍为打补丁去担心,这一数字比过去几年减少了。一些业界观察家推测担心的减少反映了补丁管理产品和IT经理的修补过程中的成熟度。
佛罗里达州Gainesville市Exactech公司网络管理员Craig Bush说:“我们实际上没有任何改变需要被修补的东西的事情,除了远程访问用户之外,这些用户一直给我们保持修补造成困难。目前,我们必须等到客户机连接在我们的VPN后才进行更新,而这永远是不规律的。”
Exactech公司的修补过程很成熟,但厂商可以通过为用户节省在把补丁部署到分散的机器之前恰当地测试补丁的时间,来方便修补过程。他说:“厂商应当确保在发布补丁之前全面地测试过它们。这种事对于开源技术比对于像Microsoft这样的封闭源代码公司更容易,Microsoft通常需要更长的补丁交货时间。”
但是业界观察家说,今天和未来补丁技术所面临的问题将更多地涉及用户环境而不是厂商的更新。他们警告说,尽管补丁管理技术可以被认为是成熟了,但随着环境演进到包括更多的虚拟化和复杂应用基础设施,补丁技术也必须向前发展。Altiris公司(现在成为Symantec的一部分)、BigFix、CA、St. Bernard Software、PatchLink和Shavlik Technologies等厂商反过来必须将对虚拟化和其它技术的支持加入到他们的工具中来充分地修补客户环境。
Enterprise Management Associates研究主管Andi Mann说:“这是个比较成熟的技术,但这并不意味着它在控制之中。虚拟化等领域中的补丁技术目前仍很不成熟;服务器和桌面虚拟化正在将补丁技术的老规则抛出窗外。”
虚拟化带来复杂性,并且造成在同样的时间里需要修补的机器的数量大大增加。这可能造成IT经理加快补丁测试过程,而这最终将造成生产机器上的配置冲突。Mann说:“测试是补丁技术的关键要素,在存在像零天攻击这样的直接威胁以及虚拟机数量急剧增加的情况下,确保所有的更新一起配合保护环境变得更困难。”
Ptak, Noel &Associates主要分析师Jasmine Noel认为,再加上依从性修补,修补可能成为IT经理面临的新的挑战。她表示,随着环境变得更加复杂,分发补丁的厂商数量的增加,测试和分发更新的多个层次将令许多IT经理目前采用的老修补方式不再适用。
她问道:“由于基础设施存在的不同层面――硬件、物理机器上的操作系统、虚拟化软件和虚拟机(操作系统和应用程序栈)――仍需要解决的问题是确定来自多家厂商的补丁的先后次序,举个例子,在某个周二,HP、Microsoft和Oracle同时推出了补丁,安装它们的正确次序是什么呢?”
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。