1、值得为服务器虚拟化去冒险吗?
从传统服务器迁移到虚拟机(VM)环境的好处是通过硬件整合和卓越的灵活性来节省费用。但是,这样也许会带来一些不好的结果,包括:安全间隙和虚拟服务器泛滥,这些都会引起审计人员的注意。
BT Group公司新兴技术办公室高级顾问、支付卡行业标准审计员Douglas Drew说:“VM安全性常常在事后才引起人们的注意。用户如何进行访问控制或审计?假设我将一个虚拟机实例从机架A迁移到机架B:一台机架是一台需要物理证章来连接控制台的锁定机架,而另一台则不是吗?VM系统管理程序允许隔离管理员A和B,使管理员A只能逻辑地接触系统A,管理员B只能接触系统B吗?用户如何根据架构变化修改风险评估?”
Drew表示,同更传统的网络一样,VM环境不管是基于VMware、XenSource还是Microsoft的系统,都需要执行ISO 27002安全系统标准规定的最佳实践。他说:“我们看到了一些案例。在这些案例中,人们由于不理解这点而在采用VM上行动缓慢。”
许多人说,不经过定制的VM软件不能满足安全性的需要。
Embotics公司是一家生产VM生命周期管理软件的新兴厂商。该公司营销副总裁David Lynch说:“虚拟机是可移动的,它们被设计为可移动的。用户克隆了一台物理服务器之后将其拿走。用户失去了这台物理服务器的身份,而用户已有的管理工具是基于你拥有物理服务器的概念的。”
Lynch认为,按照当今的设计,由于身份号可以修改和复位,因此VMware的VirtualCenter管理不能阻止VM泛滥。他补充说,确保使用一个以上的VirtualCenter的企业拥有唯一的VM ID系统是不可能的。
与VirtualCenter 配合使用的Embotics软件试图利用密码学散列函数以及元数据打下一个合法的和可信的VM ID标记来弥补不足。其他一些新兴厂商,包括Fortisphere和ManageIQ也在设法解决VM泛滥问题。
一些安全厂商深信,主要VM软件开发商正争先恐后地将推出产品来争夺市场份额,而这导致了Q1 Labs公司产品计划经理Andrew Hay所说的“安全性是事后才想到的问题”。
Hay指出,现在没有NetFlow使能的虚拟交换机来帮助进行活动监测。Hay说:“用户创建一个恰巧运行在一台机器上的独立的网络。但是,没有人尝试做虚拟化世界中的流量分析。”这会阻止IT经理走虚拟化之路吗?据Hay说,结论是:“最好在起步之前,研究你的选择。”
2、阻止数据泄露招来了律师?
数据丢失防护(DLP)――或所谓的数据泄露防护使用户可以监测非授权传输的内容。但是,使用过这项技术的企业会发现DLP照亮了企业网络更黑暗的角落,以致IT和业务经理可能发现自己处于管理和法律风险中。
信用信息服务机构Equifax公司信息安全高级副总裁Tony Spinelli在描述在他的公司中Symantec DLP部署的早期日子时说:“你跳出忽视风险的火坑,又跳进遵从性风险的陷阱。”
这迫使业务和IT管理人员进行改革。更多的安全经理会发现,一旦挑剔的审计人员知道部署了DLP工具,他们就会要求进行安全改革,而忽视这些安全改革的企业将面临法律风险。
那么,这种“看到一切,知道一切”,以及DLP仍很昂贵的事实足以成为吓走潜在购买者的缺点吗?也许,但这将意味着放弃最有发展前景的内容监测方法,而这种办法是帮助企业摆脱管理和法律麻烦所真正需要的。
安全经理在提前了解DLP可能是一种颠覆性技术后,可以制定培训业务经理(他们在大多数企业眼中是合法的数据所有者)以及审计员和法律人员的计划。
最近离开MedStar Health加盟Amtrak担任首席信息系统官的Ron Baklarz是一位有着使用DLP经验的安全专业人士。他说,他在使用MedStar所采用的Reconnex DLP时所采取的方式是让业务人员参与数据监管过程。
Baklarz建议说:“你必须与他们在遵从性上开展合作。”让经过授权的业务人员登录DLP系统,使他们可以积极参与数据丢失防护工作。
3、云中的安全性:梦想还是危险?
据Gartner分析师John Pescatore说,云中的安全服务,无论是电子邮件、拒绝服务(DoS)防护、安全漏洞扫描还是Web过滤,是取代购买软件或设备时采用的DIY方式的选择。
Pescatore建议说,首先,需要考虑企业云中安全服务的两个基本类型。第一个是基于带宽的服务,如Internet服务提供商,或基于运营商的DoS防护和响应。
Pescatore说:“例如,AT&T公司能够比你更好地、更廉价地做这件事,此外他们还利用他们的带宽在更上游的位置过滤掉攻击。另一种选择是从像Arbor Networks这样的公司购买防DoS设备,并靠自己建立保护防线。”
Pescatore表示,第二种云中服务是Gartner喜欢称之为的“安全服务化”,它“完全与带宽服务脱钩”。例如,利用反垃圾邮件服务涉及将MX记录改向提供给服务提供商,但不需要与单一运营商绑在一起的特定的带宽服务。
这种类型的服务包括垃圾邮件与杀病毒过滤、安全漏洞扫描以及Web过滤。一般来说,它不包括的是DLP内容监测与过滤,或身份访问与管理,这些功能与内部业务改变紧密相连。
Pescatore说,使用云中的安全服务化在保护移动便携机或为分布很广的分支办事处提供保护上具有很大的价值。他说:“它对非常大的跨国企业具有很强的吸引力。”
但是,多数公司可能会发现继续通过部署自己的安全设备过滤垃圾邮件、病毒和限制Web访问来保护内部运营是一种更方便和高性价比的方式。
过滤服务存在着潜在风险。你可能不愿意通过这类第三方服务传送敏感的业务交易。并且,永远存在服务可能不再可供使用的可能性。
Pescatore说,所有这些云中服务仍相当新。他只是在过去3年里看到随着MessageLabs、Microsoft、Google的Postini和Websense加入到提供这类服务的厂商的行列中。Gartner估计,云中安全服务在整个安全市场中所占份额不超过20%,但将在今年年底增加到35%,并在2013年时猛增至70%。
据调研公司IDC说,去年,这个市场的电子邮件安全软件细分规模为13.8亿美元,专用设备细分为6.922亿美元。云中服务(IDC称之为托管服务)细分为4.54亿美元。软件和专用设备细分预计将继续稳步增长,托管服务市场细分规模将在今年增加至6.38亿美元,2011年达到13.9亿美元。
云中服务的这种扩展大大鼓舞了Jericho论坛。这是个由60多家企业组成的组织,这些企业一直在积极推动扩展到传统企业边界之外的创新的电子商务安全性。
Jericho论坛董事会成员Paul Simmonds说:“云中的Web过滤只是在过去16个月中才刚刚起飞。今天比几年前有了更多的云中服务。” Simmonds说,企业网络中“正消失的边界”将使云中安全服务成为今天许多企业探索的诱人的选择。