虚拟化环境中的安全:早期努力不够

TT中国 发表于:13年12月02日 16:50 [转载] DOIT.com.cn

  • 分享:
[导读]在2008年拉斯维加斯的黑帽安全会议上,展示了历时两年的安全研究结果,其《虚拟化(安全)启示录四骑士》试图让观众了解虚拟化和安全相交融的过去、现在和未来。

在2008年拉斯维加斯的黑帽安全会议上,展示了历时两年的安全研究结果,其《虚拟化(安全)启示录四骑士》试图让观众了解虚拟化和安全相交融的过去、现在和未来。

这个报告侧重于展示虚拟化计算、存储和网络的实际运作是如何从根本上破坏安全性的;其“四骑士”可以归结为:

整合物理设备功能,将它们重组作为一个整体的虚拟设备,这将会产生低性能的解决方案,无法扩展,且难以管理。

如果虚拟安全解决方案没有正确地整合虚拟平台的安全功能及其编排系统,那么,性能、灵活性和可扩展性都将受到影响。

复杂的、高度可用的虚拟安全应用和网络拓扑将需要完全不同的架构、技术和运营模式。

虚拟化安全可能会引导企业从采购以硬件为中心的产品转移到更受软件驱动的产品,同时,运营变化将需要彻底改革,但企业往往不太管理这些软成本。

尽管虚拟化是为了提供更好的安全性,但虚拟化平台供应商普遍缺乏IT安全知识,这可能会打击早期的部署热情。这些供应商没有完全掌握运营模式,也无法解决网络专家、安全从业人员和供应商30多年的部署所构建的孤岛运作障碍。同时,安全从业人员几乎没有虚拟化的经验。

为什么早期努力不够

在笔者进行研究时,只有极少数传统安全厂商已经开始生产其物理设备的虚拟版本。这些早期解决方案并没有被很好地融入到虚拟化平台的“编排”工作流程或者网络数据路径,它们也不是“虚拟化感知的”。大多数解决方案几乎不了解环境或者工作负载,它们只是被部署来提供保护。

同样的问题也困扰着围绕这些虚拟化部署的传统物理安全,不过我们可以人为地通过外围“咽喉要道”和架构传输流量来解决这个问题,通常将虚拟化环境的流量转向到物理设备,然后传回来。虽然这种方法属于“集装箱式”且是隔离的,但这种方法使得部署和保护应用编程低效甚至无效。

大部分新奇的虚拟安全解决方案都试图复制非虚拟化环境的部署和运作架构,而缺少创造、部署或破坏虚拟网络和工作负载的灵活性和速度。这些解决方案还缺乏可视性,并且没有考虑这些虚拟网络的不成熟性,这可能导致安全控制很盲目。

让这个问题进一步复杂化的是,供应商没能认识到安全和合规团队曾经用来监控、测试和缓解威胁的设备和程序。安全供应商的假设是,安全团队能够理解这些解决方案,并将它们整合到流程。然而,操作孤岛和缺乏虚拟化技巧让这不太可能实现,但也不是完全不可能。工作负载的短暂性和完全移动性,再加上构成安全和信任的外围模型的熟悉的物理架构开始扩展,这意味着需要新模型的出现。

很多初创公司开始推出专用的虚拟化感知解决方案,并在虚拟结构中,重新构建安全讨论和围绕安全的运营模式。但是,很多这种努力很快“搁浅”,主要是由于平 台供应商试图在本地提供安全功能,但是集成接触点很糟糕。在虚拟环境中,以前负责安全的人不再控制安全政策的制定、部署和执行。

[责任编辑:李洪亮]
李洪亮
往往新技术的诞生都能令某个领域发生改变,而云计算的出现正在悄悄改变传统IDC行业。如果您想要租赁服务器,当打开百度搜索栏查找租赁信息时会发现,几乎所有IDC服务商的官方网站都会在显耀的位置推广云服务器(又叫云主机),这基本上已经成为所有IDC提供商必备的产品线。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.