RSA公布虚拟化安全和法规遵从指导(下)

DoSECU 安全报道 9月2日消息:就在VMware揭幕其VMworld会议的第二天,RSA新公布了虚拟环境中关于安全和遵从的相关建议。该建议的重点在于优化管理的用途和VMware母公司EMC以及EMC的RSA安全事业部的安全工具的可靠性。

在RSA的建议报告中,RSA表示,管理人员应该继续使用那些他们已经在物理环境中使用过的工具,来减轻在虚拟基础设施中管理工作的负担。

为了使用这些工具来满足法规遵从的目标,该报告强调了VMware的vCenter和Orchestrator;VMware Update Manager;RSA的enVision安全信息管理产品;和EMC Ionix服务器配置管理工具。

建议的重点在于如何进行管理,以及如何使用EMC和EMC信息安全事业部RSA的相关安全工具。

该报告还指出,互联网安全中心和国防信息系统办事机构都已经公布了在虚拟化配置和平台硬件化方面的指导。

平台硬件化涉及到使用"适当的设置和删除无用的代码",RSA CTO Bret Hartman表示。Hartman和VMware研究和研发高级副总裁及CTO Stephen Herrod等人一起撰写了该报告。

Hartman表示,现在之所以推出这份《虚拟世界中的法规遵从》报告是因为首席安全官正在尝试着预测虚拟化中的安全需求,并希望得到更多的实用建议。

"现在处于风险时代,"Hartman说,"虚拟化之所以与众不同是因为访问系统中出现了一种新的根基。"

因此,Hartman说,人们必须实行非常强有力的管理控制,他建议使用"多因素的认证"方法,而不仅仅是简单的密码,再加上明确的职责的确定,就应该会保险很多了。

在文件中,RSA承认他们希望将关于安全的讨论从安全管理程序"一头热"的位置上转移开,提醒人们应该对整体的安全、审计、日志记录和事件采集都提高关注。

虚拟化和非虚拟化计算环境的混合(目前多数企业都是这样的情况)代表了"一个混合的环境",在这个环境中,人们必须被管理和适当地进行日志记录,无论是出于法规遵从的原因,还是从"变革"的角度,Hartman指出。