|
與傳統(tǒng)的服務(wù)器相比�,虛擬服務(wù)器因其在硬件整合上的成本優(yōu)勢和靈活操作性廣受矚目�。但是也有可能出現(xiàn)安全空缺和虛擬服務(wù)器的蔓延。
一位來自PCI標準的高級專家說�����,虛擬安全往往是事后諸葛亮�����。諸如怎么樣處理訪問控制和審計?譬如一個人想把虛擬機器中的一個食物從通道A轉(zhuǎn)到通道B:這時候是否需要獲得進入控制臺的許可證?虛擬機器的系統(tǒng)管理程序是否允許管理員A和B的分離���,這樣A和B只能各司其職?怎么樣根據(jù)架構(gòu)的變化重新評估風險等級?
相關(guān)內(nèi)容:
與其它傳統(tǒng)的網(wǎng)絡(luò)類似�����,各種虛擬網(wǎng)絡(luò)環(huán)境�,不管是基于虛擬軟件����,XenSource,或是微軟技術(shù)����,都需要滿足ISO27002標準對于安全系統(tǒng)的要求。專家注意到有一些虛擬機器根本就不滿足這一標準���。
很多人對虛擬軟件的安全都不信賴��。
“虛擬機器是移動的���,設(shè)計的初衷就是這樣,”一家專注于虛擬機器生命周期管理軟件公司的營銷副總說�����,“購買一臺實體服務(wù)器,然后克隆一下�����。你失去了實體服務(wù)器的身份�,但是現(xiàn)行的管理軟件依據(jù)的還是實體服務(wù)器。”
照現(xiàn)在的設(shè)計來看��,虛擬機器軟件的虛擬中心管理并不能阻止虛擬機器的蔓延���,因為虛擬機器的身份可以隨時改變和重設(shè)�����。對于那些使用多臺虛擬中心的企業(yè)來說�,要保證唯一的虛擬機身份系統(tǒng)是不可能的�。
一些安全廠商坦誠,現(xiàn)在主要的虛擬機器軟件廠商過分的關(guān)注市場份額的增長����,卻忽略了安全問題�����。專家說,現(xiàn)在市面上還沒有任何一款虛擬化開關(guān)可以幫助監(jiān)控網(wǎng)絡(luò)流量的異常情況�����。
所有這些會阻止當前的虛擬化浪潮嗎?正如業(yè)內(nèi)人士所述����,底線就是在選擇之前好好研究一下虛擬化決定是否值得.
防止數(shù)據(jù)泄漏是否會導致法律問題?
數(shù)據(jù)流失保護(DLP)可以幫助監(jiān)視未經(jīng)許可的文件傳輸。但是使用這一技術(shù)的企業(yè)發(fā)現(xiàn)�����,由于對于企業(yè)網(wǎng)絡(luò)的過度透明�,企業(yè)的IT管理人員和經(jīng)理發(fā)現(xiàn)他們處于法律和監(jiān)管的風險之下。
一家公司的安全主管形容����,“最初我們是從忽略慢慢轉(zhuǎn)向了順從的危險”。自從公司部署了賽門鐵克的DLP之后���,公司在數(shù)據(jù)存儲的很多方面都得到了大大的提升�。
這些都促使商業(yè)和IT管理的變革�����。一些安全管理人員發(fā)現(xiàn)一些挑剔的安全審計人員,一旦他們知道DLP工具在哪,就會要求企業(yè)改變那些可能會觸犯法律的安全措施��。
相關(guān)內(nèi)容:
這只是眼見為實的一個方面——DLP昂貴的花費之外——而著就足以打消潛在的客戶?但是這也意味著遠離最具潛力的內(nèi)容監(jiān)測技術(shù)��,這可能會幫助你的企業(yè)遠離訴訟�����。
事先知道DLP可能是有缺陷的技術(shù)�����,安全人員可以事先準備好應急預案�����,應對審計人員和司法部門的檢查�����。
一位有著豐富DLP經(jīng)驗的工程師說�,我們應該讓企業(yè)管理人員積極參與到DLP系統(tǒng)中,這樣可以有效的防止數(shù)據(jù)泄露��。
模糊的(in-the-cloud)安全:虛幻還是危險?
一位嘉德樂的安全專家說,關(guān)于這些的基本事情——不管是電子郵件����,DOS保護���,漏洞掃描或是網(wǎng)絡(luò)過濾——這些實際上都是在購買軟件或是設(shè)備時DIY策略的替代��。
有兩種類型的安全訪服務(wù)值得思考�����,第一種是基于帶寬的��,譬如基于載波或是ISP(因特網(wǎng)服務(wù)提供商)的DOS保護和回應��。
第二種就是稱之為“作為服務(wù)的安全”�����,這與基于帶寬的服務(wù)完全不同����。使用反垃圾郵件服務(wù)就是把多重地址記錄返回給服務(wù)提供商并不是把特定的帶寬與謀個載波綁定����。
這種類型的技術(shù)包括�����,垃圾郵件和殺毒軟件過濾;漏洞掃描和網(wǎng)絡(luò)過濾�����。大體上來說��,不包括DLP內(nèi)容監(jiān)測和過濾或是身份訪問和管理�����,這些都是與企業(yè)內(nèi)部管理變化聯(lián)系的���。
使用安全作為服務(wù)(security-as-a service)在保護筆記本或是對廣泛分布的辦公室的保護上是很有效的。對于跨國企業(yè)來說����,這是很有吸引力的。
但是絕大多數(shù)的企業(yè)發(fā)現(xiàn)部署更適合自身企業(yè)的安全來應對垃圾郵件���,病毒和限制網(wǎng)絡(luò)連接更加簡潔劃算����。
使用過濾服務(wù)存在潛在的風險。你可能不想使用這種第三方的服務(wù)來傳輸敏感商業(yè)文件�����。這樣很容易導致泄密事件��。
所有這些模糊安全服務(wù)任然很新穎���,過去三年增長了不少,譬如MessageLabs(信息實驗室)�����,微軟��,谷歌的Postini 和 Websense就已經(jīng)在市面上出現(xiàn)��,根據(jù)高德納咨詢公司的估計�,in-the-cloud電子郵件安全服務(wù)目前站的市場份額大概是20%,在未來的5年之內(nèi)將會以每年35%的速度增長�����,2013年將占70%。
據(jù)IDC調(diào)查�����,去年電子郵件安全軟件的市場份額是13.8億美元��,相關(guān)的應用程序接近七億美元����。In-the-cloud服務(wù)的價值約4.5億美元。軟件和應用程序?qū)掷m(xù)增長�����。
網(wǎng)頁過濾的發(fā)展實際上只是過去16個月的事情����,還有許多類似的服務(wù)的發(fā)展也只是幾年的時間而已。由于企業(yè)網(wǎng)絡(luò)中正在消失的邊界正使得模糊安全服務(wù)為越來越多的企業(yè)所采用�。
作者: 陳將, 出處:IT專家網(wǎng), 責任編輯: 張帥, 2008-07-24 00:00
網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)用戶十分關(guān)注的熱點,如何解決企業(yè)面臨的形形色色的安全威脅�����?業(yè)內(nèi)專家為我們總結(jié)了網(wǎng)絡(luò)安全亟待解決的六大要害問題����。
微軟可以在安全方面做的更好嗎?
在面對安全問題的時候���,微軟會贏得尊重嗎?
即使是蓋茨也難以回答這一問題。人難免會犯錯誤�����,微軟現(xiàn)在之所以在安全上成為其軟肋��,就是因為微軟在開發(fā)軟件之初就天真的以為世界上都是好人�,數(shù)據(jù)中心也經(jīng)常遭人攻擊�����。
十多年之前的包袱至今還是壓在微軟身上��。即使是在今天�����,25年之前的設(shè)計還是陰魂不散����,Vista不是一個新的操作系統(tǒng)��,在vista 的名號掩蓋之下實際上有很多老式的設(shè)計���,這些都是為了保護系統(tǒng)的兼容性。
微軟現(xiàn)在出于一個兩難的境地��。如果微軟真的是想從頭開始設(shè)計的話�����,很可能就要犧牲金錢上的收益����,這是微軟不愿意做的。
幾年以前�����,微軟曾經(jīng)試著去與過去的設(shè)計做一個了斷���,計劃叫做“下一代安全計算基礎(chǔ)”(NGSCB)計劃���,但是最后還是不了了之。
有分析人士認為,微軟實際上還是在走老路�,這樣就能保證其在市場上的龍頭地位。有一位專家說�����,如果他是蓋茨的話����,就會與過去做一個了斷,開發(fā)一個與過去完全不同的系統(tǒng)���。
在其它方面��,微軟微軟開發(fā)了一套身份策略系統(tǒng),但是這只是以Windows為中心的方法���。他們從不嘗試其它的操作平臺�。由于微軟始終不接受SAML標準�����,這是一個很大的錯誤�����,不利于這一個行業(yè)的長遠發(fā)展。
Linux, Unix和Macintosh操作系統(tǒng)使用了比微軟操作系統(tǒng)更安全的設(shè)計����。但是Vista和XP2在安全上還是有所提高。
實際上��,微軟在安全問題上已有一點臭名昭著����,小的改變不足以改變其形象。微軟有很多天才身份認證專家�����,但是他們的意見很少被微軟采納�����,很可能是被壓制了�。一些與微軟系統(tǒng)相兼容的第三方安全軟件提供商也一直在努力。
在微軟的一些部門中����,譬如管理CRM或辦公產(chǎn)品的部門���,他們根本未與第三方安全軟件廠商合作,但是它們的核心操作系統(tǒng)卻更加開放��。但是與微軟合作最煩人的就是你可能需要獲得官方的認證���,但是微軟并沒有更新其技術(shù)文件����。
有專家說��,微軟很多操作系統(tǒng)根本就沒有記錄����,因為操作系統(tǒng)不斷發(fā)布新的版本的升級,沒有人能夠把這些都記錄下來���。譬如微軟改變周二發(fā)布補丁的慣例,然后數(shù)據(jù)連接程序庫也被改變���,但是這并不會改變文件記錄����,但是程序卻不能運行了。我們不得不研究這些變化�����。
在過去的幾年��,并沒有大規(guī)模的蠕蟲攻擊�����,譬如Code Red, Blaster 和 Nimbda�����,微軟的漏洞造成全球性的恐慌�����,F(xiàn)在黑客把攻擊的重點轉(zhuǎn)向了第三方網(wǎng)絡(luò)插件��。因為過去黑客找到微軟的漏洞很簡單�����,但是隨著微軟產(chǎn)品的不斷改進����,微軟現(xiàn)在有專業(yè)人士在查找這些漏洞����。
NAC(網(wǎng)絡(luò)訪問控制):防火墻還夠用嗎?
并不是每個人都需要NAC�����,但是對于控制個人的網(wǎng)絡(luò)訪問還是很有效的工具���。
NAC對于那些需要監(jiān)管的行業(yè)是很有效的���。NAC對外界的訪問終端進行綜合的檢查,可以幫助管理人員在合法的終端上執(zhí)行企業(yè)的安全政策�����。
絕大多數(shù)的NAC平臺不僅僅起這點作用���,還有記錄這些表現(xiàn)����,這些記錄可能在支付卡行業(yè)(PCI)和:健康保險攜帶和責任法案(HIPAA)中需要����。
根據(jù)Gartner的調(diào)查,NAC在掃描用戶的問題上表現(xiàn)優(yōu)異���。絕大多數(shù)Gartner在部署客戶網(wǎng)絡(luò)的時候都將NAC作為優(yōu)先考慮��。2007年�����,很多安全管理人員將NAC視為一種戰(zhàn)略性的安全過程�����,它可以為客戶網(wǎng)絡(luò)帶來很大的好處��。
如果企業(yè)中的員工復雜���,既有全職員工,合同工����,還有經(jīng)常訪問網(wǎng)絡(luò)的客戶,NAC可以保證他們使用的設(shè)備符合配置標準���。對于不滿足條件的機器��,NAC既可以修復他們����,或是隔離,或是訪問限定的資源就不至于造成很大的損害���。
類似的����,如果企業(yè)的各個部門的網(wǎng)絡(luò)需要隔離�����,就可以使用NAC中的不同層級的授權(quán)控制�����。
如果企業(yè)根據(jù)兼容要求�����,不同類型的工作人員,和全球戰(zhàn)略的不同使用NAC��, 我們將會掀起一場新的變革���。
不久,NAC將成為多層安全架構(gòu)中不可或缺的部分�����,對于防火墻的依賴將減小�。而是根據(jù)安全層級的不同尋求解決威脅的辦法。NAC不一定是必須的��,但是將會成為新的安全架構(gòu)的關(guān)鍵部件�。
如果沒有NAC,很多網(wǎng)絡(luò)就像沒有設(shè)防一樣����。這一技術(shù)將會降低受到威脅的機器訪問網(wǎng)絡(luò)造成危害的可能性。但是并不能完全保證安全��。NAC可以處理傳統(tǒng)的防火墻不能應對的威脅��,盡管NAC也有不能處理的問題��,但是可以做出應有的貢獻�����。
捫心自問;防火墻真的夠了嗎?如果你的答案是肯定的,那么NAC絕對是多于的��。它提供的只是額外的主機完整性檢查���,但是對于目前的防火墻中的授權(quán)和認證沒什么價值�����。
IT能夠解決補丁管理嗎?
補丁和漏洞管理工具更像是在一個靜態(tài)的���,控制的環(huán)境中保護受威脅的計算機。在IT部門經(jīng)理人的眼中����,這是他們優(yōu)先考慮的技術(shù)區(qū)域,他們把更多的精力放在漏洞掃描�,補丁測試和軟件分布過程。
根據(jù)企業(yè)管理聯(lián)盟(EMA)對250名IT經(jīng)理的調(diào)查�����,超過四分之三(76%)的企業(yè)有自己的補丁管理產(chǎn)品,并且認為補丁策略是保證企業(yè)安全的重要方法��。相關(guān)行業(yè)報告表明�����,補丁產(chǎn)品近年下降了�。觀察人士認為這是反映了市場補丁產(chǎn)品和IT管理上的成熟����。
相關(guān)廠商說,在哪些需要補丁上沒有什么改變�,但是那些遠程用戶卻很難及時獲得補丁。有些廠商的對應策略就是使用虛擬個網(wǎng)絡(luò)(VPN)來實現(xiàn)補丁�����,但是更新不定時��。
有些企業(yè)的補丁策略很成熟����,但是廠商往往在發(fā)布補丁的時候會進行事前的測試,這會減弱企業(yè)的補丁策略�����。
企業(yè)抱怨說,廠商應該在補丁發(fā)布之前就應該在內(nèi)部測試完畢���。相比微軟等閉源企業(yè)來說����,這對于開源技術(shù)更加簡單�。
盡管行業(yè)觀察人士指出了現(xiàn)行的補丁策略的很多問題,補丁更多需要考慮的是用戶的使用環(huán)境�。他們警告說,盡管現(xiàn)在的補丁管理技術(shù)很成熟�,因為環(huán)境升級為虛擬化和復雜的應用程序結(jié)構(gòu),補丁策略還需要繼續(xù)向前發(fā)展�����。開發(fā)商還需要把虛擬化技術(shù)等加入工具中更好的幫助用戶下載補丁�����。
EMA的一位專家說�����,這是一種相對成熟的技術(shù),但是并不是說我們完全了解了它����。譬如說,我們還不是很了解在虛擬環(huán)境中的補丁;服務(wù)器和臺式機的虛擬化正在拋棄過往的補丁規(guī)則�����。這位專家還說����,虛擬化不僅帶來了復雜�,還有就是在同一時間對增加的指數(shù)級的電腦添加補丁。這可能會導致IT經(jīng)理加速補丁測試�����,這就可能導致配置上的沖突�����。測試是補丁的關(guān)鍵�,但是隨著零天攻擊的增多和虛擬機器的大量出現(xiàn),保護網(wǎng)絡(luò)環(huán)境顯得更加復雜了����。
增加了獨立的補丁�,補丁可能會演變成IT經(jīng)理新的挑戰(zhàn)�����。隨著網(wǎng)絡(luò)環(huán)境變得更加復雜和廠商分布補丁數(shù)量的增多���,測試的層級和補丁的發(fā)布將會與過往很不同����,這對于IT經(jīng)理來說是一個挑戰(zhàn)�����。
我們現(xiàn)在需要努力的就是從傳統(tǒng)的先后補丁順序轉(zhuǎn)向多個廠商���,因為所有的結(jié)構(gòu)層級——硬件����,操作系統(tǒng)是實體�,虛擬化軟件和虛擬化機器——那么在選擇下載補丁時的順序是怎么樣才是最好呢?
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強����!虛擬主機域名注冊頂級提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
