1、值得為服務器虛擬化去冒險嗎？

 

    從傳統(tǒng)服務器遷移到虛擬機（VM）環(huán)境的好處是通過硬件整合和卓越的靈活性來節(jié)省費用。但是，這樣也許會帶來一些不好的結(jié)果，包括：安全間隙和虛擬服務器泛濫，這些都會引起審計人員的注意。

 

    BT Group公司新興技術辦公室高級顧問、支付卡行業(yè)標準審計員Douglas Drew說：“VM安全性常常在事后才引起人們的注意。用戶如何進行訪問控制或?qū)徲�？假設我將一個虛擬機實例從機架A遷移到機架B：一臺機架是一臺需要物理證章來連接控制臺的鎖定機架，而另一臺則不是嗎？

 

    VM系統(tǒng)管理程序允許隔離管理員A和B，使管理員A只能邏輯地接觸系統(tǒng)A，管理員B只能接觸系統(tǒng)B嗎？用戶如何根據(jù)架構(gòu)變化修改風險評估？“

 

    Drew表示，同更傳統(tǒng)的網(wǎng)絡一樣，VM環(huán)境不管是基于VMware、XenSource還是Microsoft的系統(tǒng)，都需要執(zhí)行ISO 27002安全系統(tǒng)標準規(guī)定的最佳實踐。他說：“我們看到了一些案例。在這些案例中，人們由于不理解這點而在采用VM上行動緩慢。”許多人說，不經(jīng)過定制的VM軟件不能滿足安全性的需要。

 

    Embotics公司是一家生產(chǎn)VM生命周期管理軟件的新興廠商。該公司營銷副總裁David Lynch說：“虛擬機是可移動的，它們被設計為可移動的。

 

    用戶克隆了一臺物理服務器之后將其拿走。用戶失去了這臺物理服務器的身份，而用戶已有的管理工具是基于你擁有物理服務器的概念的。“

 

    Lynch認為，按照當今的設計，由于身份號可以修改和復位，因此VMware的VirtualCenter管理不能阻止VM泛濫。他補充說，確保使用一個以上的VirtualCenter的企業(yè)擁有唯一的VM ID系統(tǒng)是不可能的。

 

    與VirtualCenter 配合使用的Embotics軟件試圖利用密碼學散列函數(shù)以及元數(shù)據(jù)打下一個合法的和可信的VM ID標記來彌補不足。其他一些新興廠商，包括Fortisphere和ManageIQ也在設法解決VM泛濫問題。

 

    一些安全廠商深信，主要VM軟件開發(fā)商正爭先恐后地將推出產(chǎn)品來爭奪市場份額，而這導致了Q1 Labs公司產(chǎn)品計劃經(jīng)理Andrew Hay所說的“安全性是事后才想到的問題”。

 

    Hay指出，現(xiàn)在沒有NetFlow使能的虛擬交換機來幫助進行活動監(jiān)測。Hay說：“用戶創(chuàng)建一個恰巧運行在一臺機器上的獨立的網(wǎng)絡。但是，沒有人嘗試做虛擬化世界中的流量分析。”這會阻止IT經(jīng)理走虛擬化之路嗎？據(jù)Hay說，結(jié)論是：“最好在起步之前，研究你的選擇。”

 

    2、阻止數(shù)據(jù)泄露招來了律師？

 

    數(shù)據(jù)丟失防護（DLP）――或所謂的數(shù)據(jù)泄露防護使用戶可以監(jiān)測非授權傳輸?shù)膬?nèi)容。但是，使用過這項技術的企業(yè)會發(fā)現(xiàn)DLP照亮了企業(yè)網(wǎng)絡更黑暗的角落，以致IT和業(yè)務經(jīng)理可能發(fā)現(xiàn)自己處于管理和法律風險中。

 

    信用信息服務機構(gòu)Equifax公司信息安全高級副總裁Tony Spinelli在描述在他的公司中Symantec DLP部署的早期日子時說：“你跳出忽視風險的火坑，又跳進遵從性風險的陷阱。”

 

    這迫使業(yè)務和IT管理人員進行改革。更多的安全經(jīng)理會發(fā)現(xiàn)，一旦挑剔的審計人員知道部署了DLP工具，他們就會要求進行安全改革，而忽視這些安全改革的企業(yè)將面臨法律風險。

 

    那么，這種“看到一切，知道一切”，以及DLP仍很昂貴的事實足以成為嚇走潛在購買者的缺點嗎？也許，但這將意味著放棄最有發(fā)展前景的內(nèi)容監(jiān)測方法，而這種辦法是幫助企業(yè)擺脫管理和法律麻煩所真正需要的。

 

    安全經(jīng)理在提前了解DLP可能是一種顛覆性技術后，可以制定培訓業(yè)務經(jīng)理（他們在大多數(shù)企業(yè)眼中是合法的數(shù)據(jù)所有者）以及審計員和法律人員的計劃。

 

    最近離開MedStar Health加盟Amtrak擔任首席信息系統(tǒng)官的Ron Baklarz是一位有著使用DLP經(jīng)驗的安全專業(yè)人士。他說，他在使用MedStar所采用的Reconnex DLP時所采取的方式是讓業(yè)務人員參與數(shù)據(jù)監(jiān)管過程。

 

    Baklarz建議說：“你必須與他們在遵從性上開展合作。”讓經(jīng)過授權的業(yè)務人員登錄DLP系統(tǒng)，使他們可以積極參與數(shù)據(jù)丟失防護工作。

 

    3、云中的安全性：夢想還是危險？

 

    據(jù)Gartner分析師John Pescatore說，云中的安全服務，無論是電子郵件、拒絕服務（DoS）防護、安全漏洞掃描還是Web過濾，是取代購買軟件或設備時采用的DIY方式的選擇。

 

    Pescatore建議說，首先，需要考慮企業(yè)云中安全服務的兩個基本類型。第一個是基于帶寬的服務，如Internet服務提供商，或基于運營商的DoS防護和響應。

 

    Pescatore說：“例如，AT&T公司能夠比你更好地、更廉價地做這件事，此外他們還利用他們的帶寬在更上游的位置過濾掉攻擊。另一種選擇是從像Arbor Networks這樣的公司購買防DoS設備，并靠自己建立保護防線。”

 

    Pescatore表示，第二種云中服務是Gartner喜歡稱之為的“安全服務化”，它“完全與帶寬服務脫鉤”。例如，利用反垃圾郵件服務涉及將MX記錄改向提供給服務提供商，但不需要與單一運營商綁在一起的特定的帶寬服務。

 

    這種類型的服務包括垃圾郵件與殺病毒過濾、安全漏洞掃描以及Web過濾。一般來說，它不包括的是DLP內(nèi)容監(jiān)測與過濾，或身份訪問與管理，這些功能與內(nèi)部業(yè)務改變緊密相連。

 

    Pescatore說，使用云中的安全服務化在保護移動便攜機或為分布很廣的分支辦事處提供保護上具有很大的價值。他說：“它對非常大的跨國企業(yè)具有很強的吸引力。”

 

    但是，多數(shù)公司可能會發(fā)現(xiàn)繼續(xù)通過部署自己的安全設備過濾垃圾郵件、病毒和限制Web訪問來保護內(nèi)部運營是一種更方便和高性價比的方式。

 

    過濾服務存在著潛在風險。你可能不愿意通過這類第三方服務傳送敏感的業(yè)務交易。并且，永遠存在服務可能不再可供使用的可能性。

 

    Pescatore說，所有這些云中服務仍相當新。他只是在過去3年里看到隨著MessageLabs、Microsoft、Google的Postini和Websense加入到提供這類服務的廠商的行列中。Gartner估計，云中安全服務在整個安全市場中所占份額不超過20%，但將在今年年底增加到35%，并在2013年時猛增至70%.

 

    據(jù)調(diào)研公司IDC說，去年，這個市場的電子郵件安全軟件細分規(guī)模為13.8億美元，專用設備細分為6.922億美元。云中服務（IDC稱之為托管服務）細分為4.54億美元。軟件和專用設備細分預計將繼續(xù)穩(wěn)步增長，托管服務市場細分規(guī)模將在今年增加至6.38億美元，2011年達到13.9億美元。

 

    云中服務的這種擴展大大鼓舞了Jericho論壇。這是個由60多家企業(yè)組成的組織，這些企業(yè)一直在積極推動擴展到傳統(tǒng)企業(yè)邊界之外的創(chuàng)新的電子商務安全性。

 

    Jericho論壇董事會成員Paul Simmonds說：“云中的Web過濾只是在過去16個月中才剛剛起飛。今天比幾年前有了更多的云中服務。” Simmonds說，企業(yè)網(wǎng)絡中“正消失的邊界”將使云中安全服務成為今天許多企業(yè)探索的誘人的選擇。

 

    4、Microsoft會正確對待安全性嗎？

 

    在Bill Gates最后一次在RSA 2007大會上出現(xiàn)在公眾面前時，他與Craig Mundie（Gates將指揮公司產(chǎn)品安全發(fā)展方向的指揮棒交給了他）同臺亮相。這兩個人以自我批評的口吻解釋了Microsoft的軟件為什么達不到要求的原因。

 

    兩個人指出過去Microsoft軟件缺少安全性的原因可以追溯到早期年代的一種天真的想法。這種想法認為由于“所有人都是善良的”并且數(shù)據(jù)中心似乎被謹慎地保護起來，所以不需要多少控制。

 

    Nemertes Research公司高級副總裁、創(chuàng)建合伙人Andreas Antonopoulos認為，幾十年積累下來的包袱仍是Microsoft的負擔。他說：“甚至在今天，25年前做出的基本設計決策仍困擾著Microsoft.Windows Vista不是一種新操作系統(tǒng)。在Vista外衣下有很多老的操作系統(tǒng)，為了確保應用的向后兼容性，Vista承擔了過去20年積累的負擔。”

 

    Antonopoulos認為，Microsoft處于一種兩難境地。如果這家公司的確決定在軟件上重起爐灶，它可能不得不犧牲財務優(yōu)勢。他說：“這種事不可能發(fā)生。”

 

    Burton Group分析師Dan Blum表達了類似觀點，他說：“從這個意義上講，他們是受害者。他們在思想上受到向后兼容性的限制。幾年前，Microsoft曾在所謂的下一代安全計算基礎（NGSCB）項目中尋求與過去決裂，但Microsoft停止了這個項目。”

 

    Microsoft仍沿著“方便性、靈活性和向后兼容性”的道路前進，而這使得Microsoft在市場中具有最大的優(yōu)勢。Blum假設如果他是Gates，他會嘗試一種“并行方式”來開發(fā)下一代可信任的操作系統(tǒng)，即使與已有應用決裂。

 

    “在另一些方面，Microsoft總體上制定了一種可行的身份戰(zhàn)略，但受到其以Windows為中心的方式的束縛。”Blum說，“他們永遠不會批準任何不同的平臺。例如，Microsoft缺少對SAML標準的支持就是個大錯誤，不符合軟件行業(yè)的最大利益。”

 

    Antonopoulos認為，Linux、Unix和Macintosh操作系統(tǒng)在發(fā)貨時具有比Microsoft產(chǎn)品更好的“安全設計狀態(tài)”。

 

    不過，Antonopoulos和Blum都認為Microsoft在Vista和XP2上有了改進。

 

    “問題在于Microsoft造成了一種壞的聲譽，擺脫這種惡名很難。”Antonopoulos說。Microsoft擁有大量掌握著身份和信任專業(yè)知識的天才工程師，但他們在工程會議上表達的想法卻很少被采用到Microsoft軟件中。他補充說：“我認為這些想法肯定被駁回了。”

 

    對于一些與Microsoft密切合作的第三方安全軟件提供商來說，有時也是很難受的。

 

    生產(chǎn)用于Microsoft桌面和服務器產(chǎn)品的口令和管理員管理工具的Lieberman Software公司總裁Phil Lieberman說：“這一直就是個過山車。

 

    Microsoft面臨的問題是它不僅僅是一個公司；它是走在不同的道路上相互打架的存在分歧的多個公司。“

 

    Lieberman說，在一些Microsoft部門中，如那些管理CRM或Office產(chǎn)品的部門，不存在為安全性與第三方應用合作的努力，而核心操作系統(tǒng)部則更開放。

 

    但是，與Microsoft合作（這可能是獲得正式Microsoft認證所必需的）的更令人生氣的部分是這家公司不更新技術文件。

 

    Lieberman說：“很大一部分操作系統(tǒng)沒有記錄到文件中。他們前進的速度很快，發(fā)行那么多的版本和更新，沒有人記錄他們在做什么。例如，如果Microsoft為周二補丁發(fā)布修改某個東西并且數(shù)據(jù)鏈接庫被修改了，他們不愿修改文件，而你的應用則不能使用。我們不得不研究這個問題，結(jié)果發(fā)現(xiàn)他們修改了它。”

 

    盡管承認Microsoft不良的記錄，但另一些記錄卻讓人稍感安慰。

 

    Symantec公司安全響應部經(jīng)理Oliver Friedrichs說：“Microsoft進行改進的努力產(chǎn)生了正面影響。我們必須在改進操作系統(tǒng)安全性上給Microsoft一些表揚。”

 

    過去幾年里，沒有出現(xiàn)過像Code Red、Blaster和Nimbda這樣的利用Microsoft產(chǎn)品存在的漏洞在世界范圍造成重大破壞的災難性的蠕蟲攻擊。

 

    Friedrichs補充說：“今天的攻擊者將注意力放在第三方Web插件上。”

 

    SystemExperts公司總裁Jon Gossels說：“很容易選擇Microsoft產(chǎn)品作為攻擊目標，因為它們無處不在，而且歷史上存在問題。但是他們的產(chǎn)品每年都在改進，有很多專業(yè)人員在努力尋找產(chǎn)品存在的隱患。”

 

    5、NAC：你的防火墻足夠用了嗎？

 

    網(wǎng)絡訪問控制（NAC）并不是為所有人準備的，但它可以成為控制個人獲得網(wǎng)絡接入環(huán)境的有價值的工具。

 

    NAC可以在對終端進行全面的檢查后，再允許終端進入企業(yè)網(wǎng)絡。這類檢查有助于那些要求合法終端必須被正確配置的企業(yè)。

 

    大多數(shù)NAC平臺不僅執(zhí)行這種功能，而且還記錄執(zhí)行過程，而這是不同管理規(guī)定（如PCI標準和醫(yī)療保險便攜與責任法）所要求的。

 

    如果企業(yè)擁有經(jīng)常使用它們的網(wǎng)絡的全職雇員、承包商和客戶構(gòu)成的多樣化的用戶群體，NAC可以幫助確保他們用來連接的設備符合配置政策。

 

    對于達不到要求的機器，NAC可以修補它們，隔離它們或批準它們訪問只有有限資源并且它們只能造成有限破壞的網(wǎng)段。

 

    同樣，必須按部門或職能劃分網(wǎng)絡的企業(yè)可以利用NAC中的授權控制將訪問權限控制在相當精細的水平上。

 

    Forrester Research公司分析師Rob Whitely說：“如果公司面臨多種遵從性要求（Sarbanes-Oxley法、PCI、HIPAA），擁有多樣化的勞動大軍（雇員、承包商、遠程工作人員、合作伙伴、供應商）和全球運營（需要按地區(qū)、業(yè)務單位以及其他情況劃分環(huán)境），那么NAC最終將成為分層安全架構(gòu)中的元素。”

 

    這種分層的安全架構(gòu)較少依賴于作為主要防線的周邊防火墻，而更多的依賴于尋求減少威脅的不同的安全層。他說，NAC并不是必需的，但是它將成為這些新安全架構(gòu)的至關重要的組成部分。

 

    多數(shù)網(wǎng)絡沒有NAC仍可以存在下去。這項技術防止受到損害的機器獲得網(wǎng)絡接入以及減少如果它們得逞所造成的破壞。但它并不能保證安全性。

 

    NAC是為應對傳統(tǒng)的3層防火墻不能對付的威脅而生的，現(xiàn)在出現(xiàn)了NAC不能對付但可以做出重要貢獻的威脅。

 

    Whiteley說：“問問你自己：你的防火墻足夠用了嗎？如果夠用了，很可能就不需要NAC了。NAC提供額外的主機完整性檢查，但這除了更細粒度的認證和授權之外（這些實際上只是試圖彌補今天防火墻存在的不足），沒有提供其他的價值。”

 

    6、IT解決了補丁管理問題了嗎？

 

    補丁和安全漏洞管理工具可以承擔檢測和保護一個基本上靜態(tài)的、受控的環(huán)境中存在漏洞的機器的任務。這一技術領域被認為是IT經(jīng)理中的重點任務。IT經(jīng)理很可能用了很多年時間來完善他們的漏洞掃描、補丁測試和軟件分發(fā)過程。

 

    據(jù)Enterprise Management Associates公司的一項調(diào)查顯示，接受調(diào)查的250位IT經(jīng)理中的76%使用某種補丁管理產(chǎn)品，并說打補丁是個非常重要的過程。VanDyke Software的第五次年度企業(yè)安全調(diào)查采訪了300位網(wǎng)絡管理員。調(diào)查發(fā)現(xiàn)30%的人仍為打補丁去擔心，這一數(shù)字比過去幾年減少了。一些業(yè)界觀察家推測擔心的減少反映了補丁管理產(chǎn)品和IT經(jīng)理的修補過程中的成熟度。

 

    佛羅里達州Gainesville市Exactech公司網(wǎng)絡管理員Craig Bush說：“我們實際上沒有任何改變需要被修補的東西的事情，除了遠程訪問用戶之外，這些用戶一直給我們保持修補造成困難。目前，我們必須等到客戶機連接在我們的VPN后才進行更新，而這永遠是不規(guī)律的。”

 

    Exactech公司的修補過程很成熟，但廠商可以通過為用戶節(jié)省在把補丁部署到分散的機器之前恰當?shù)販y試補丁的時間，來方便修補過程。他說：“廠商應當確保在發(fā)布補丁之前全面地測試過它們。這種事對于開源技術比對于像Microsoft這樣的封閉源代碼公司更容易，Microsoft通常需要更長的補丁交貨時間。”

 

    但是業(yè)界觀察家說，今天和未來補丁技術所面臨的問題將更多地涉及用戶環(huán)境而不是廠商的更新。他們警告說，盡管補丁管理技術可以被認為是成熟了，但隨著環(huán)境演進到包括更多的虛擬化和復雜應用基礎設施，補丁技術也必須向前發(fā)展。Altiris公司（現(xiàn)在成為Symantec的一部分）、BigFix、CA、St. Bernard Software、PatchLink和Shavlik Technologies等廠商反過來必須將對虛擬化和其它技術的支持加入到他們的工具中來充分地修補客戶環(huán)境。

 

    Enterprise Management Associates研究主管Andi Mann說：“這是個比較成熟的技術，但這并不意味著它在控制之中。虛擬化等領域中的補丁技術目前仍很不成熟；服務器和桌面虛擬化正在將補丁技術的老規(guī)則拋出窗外。”

 

    虛擬化帶來復雜性，并且造成在同樣的時間里需要修補的機器的數(shù)量大大增加。這可能造成IT經(jīng)理加快補丁測試過程，而這最終將造成生產(chǎn)機器上的配置沖突。Mann說：“測試是補丁技術的關鍵要素，在存在像零天攻擊這樣的直接威脅以及虛擬機數(shù)量急劇增加的情況下，確保所有的更新一起配合保護環(huán)境變得更困難。”

 

    Ptak， Noel & Associates主要分析師Jasmine Noel認為，再加上依從性修補，修補可能成為IT經(jīng)理面臨的新的挑戰(zhàn)。她表示，隨著環(huán)境變得更加復雜，分發(fā)補丁的廠商數(shù)量的增加，測試和分發(fā)更新的多個層次將令許多IT經(jīng)理目前采用的老修補方式不再適用。

 

    她問道：“由于基礎設施存在的不同層面――硬件、物理機器上的操作系統(tǒng)、虛擬化軟件和虛擬機（操作系統(tǒng)和應用程序棧）――仍需要解決的問題是確定來自多家廠商的補丁的先后次序，舉個例子，在某個周二，HP、Microsoft和Oracle同時推出了補丁，安裝它們的正確次序是什么呢？”