作者: 陈将

服务器虚拟化是否值得?

　　与传统的服务器相比，虚拟服务器因其在硬件整合上的成本优势和灵活操作性广受瞩目。但是也有可能出现安全空缺和虚拟服务器的蔓延。

　　一位来自PCI标准的高级专家说，虚拟安全往往是事后诸葛亮。诸如怎么样处理访问控制和审计?譬如一个人想把虚拟机器中的一个食物从通道A转到通道B：这时候是否需要获得进入控制台的许可证?虚拟机器的系统管理程序是否允许管理员A和B的分离，这样A和B只能各司其职?怎么样根据架构的变化重新评估风险等级?

　　相关内容：

　　与其它传统的网络类似，各种虚拟网络环境，不管是基于虚拟软件，XenSource，或是微软技术，都需要满足ISO 27002标准对于安全系统的要求。专家注意到有一些虚拟机器根本就不满足这一标准。

　　很多人对虚拟软件的安全都不信赖。

　　“虚拟机器是移动的，设计的初衷就是这样，”一家专注于虚拟机器生命周期管理软件公司的营销副总说，“购买一台实体服务器，然后克隆一下。你失去了实体服务器的身份，但是现行的管理软件依据的还是实体服务器。”

　　照现在的设计来看，虚拟机器软件的虚拟中心管理并不能阻止虚拟机器的蔓延，因为虚拟机器的身份可以随时改变和重设。对于那些使用多台虚拟中心的企业来说，要保证唯一的虚拟机身份系统是不可能的。

　　一些安全厂商坦诚，现在主要的虚拟机器软件厂商过分的关注市场份额的增长，却忽略了安全问题。专家说，现在市面上还没有任何一款虚拟化开关可以帮助监控网络流量的异常情况。

　　所有这些会阻止当前的虚拟化浪潮吗?正如业内人士所述，底线就是在选择之前好好研究一下虚拟化决定是否值得.

　　防止数据泄漏是否会导致法律问题?

　　数据流失保护(DLP)可以帮助监视未经许可的文件传输。但是使用这一技术的企业发现，由于对于企业网络的过度透明，企业的IT管理人员和经理发现他们处于法律和监管的风险之下。

　　一家公司的安全主管形容，“最初我们是从忽略慢慢转向了顺从的危险”。自从公司部署了赛门铁克的DLP之后，公司在数据存储的很多方面都得到了大大的提升。

　　这些都促使商业和IT管理的变革。一些安全管理人员发现一些挑剔的安全审计人员，一旦他们知道DLP工具在哪,就会要求企业改变那些可能会触犯法律的安全措施。

　　相关内容：

　　这只是眼见为实的一个方面——DLP昂贵的花费之外——而着就足以打消潜在的客户?但是这也意味着远离最具潜力的内容监测技术，这可能会帮助你的企业远离诉讼。

　　事先知道DLP可能是有缺陷的技术，安全人员可以事先准备好应急预案，应对审计人员和司法部门的检查。

　　一位有着丰富DLP经验的工程师说，我们应该让企业管理人员积极参与到DLP系统中，这样可以有效的防止数据泄露。

　　模糊的(in-the-cloud)安全：虚幻还是危险?

　　一位嘉德乐的安全专家说，关于这些的基本事情——不管是电子邮件，DOS保护，漏洞扫描或是网络过滤——这些实际上都是在购买软件或是设备时DIY策略的替代。

　　有两种类型的安全访服务值得思考，第一种是基于带宽的，譬如基于载波或是ISP(因特网服务提供商)的DOS保护和回应。

　　第二种就是称之为“作为服务的安全”，这与基于带宽的服务完全不同。使用反垃圾邮件服务就是把多重地址记录返回给服务提供商并不是把特定的带宽与谋个载波绑定。

　　这种类型的技术包括，垃圾邮件和杀毒软件过滤;漏洞扫描和网络过滤。大体上来说，不包括DLP内容监测和过滤或是身份访问和管理，这些都是与企业内部管理变化联系的。

　　使用安全作为服务(security-as-a service)在保护笔记本或是对广泛分布的办公室的保护上是很有效的。对于跨国企业来说，这是很有吸引力的。

　　但是绝大多数的企业发现部署更适合自身企业的安全来应对垃圾邮件，病毒和限制网络连接更加简洁划算。

　　使用过滤服务存在潜在的风险。你可能不想使用这种第三方的服务来传输敏感商业文件。这样很容易导致泄密事件。

　　所有这些模糊安全服务任然很新颖，过去三年增长了不少，譬如MessageLabs(信息实验室)，微软，谷歌的Postini 和 Websense就已经在市面上出现，根据高德纳咨询公司的估计，in-the-cloud 电子邮件安全服务目前站的市场份额大概是20%，在未来的5年之内将会以每年35%的速度增长，2013年将占70%。

　　据IDC调查，去年电子邮件安全软件的市场份额是13.8亿美元，相关的应用程序接近七亿美元。In-the-cloud服务的价值约4.5亿美元。软件和应用程序将会持续增长。

　　网页过滤的发展实际上只是过去16个月的事情，还有许多类似的服务的发展也只是几年的时间而已。由于企业网络中正在消失的边界正使得模糊安全服务为越来越多的企业所采用。

　微软可以在安全方面做的更好吗?

　　在面对安全问题的时候，微软会赢得尊重吗?

　　即使是盖茨也难以回答这一问题。人难免会犯错误，微软现在之所以在安全上成为其软肋，就是因为微软在开发软件之初就天真的以为世界上都是好人，数据中心也经常遭人攻击。

　　十多年之前的包袱至今还是压在微软身上。即使是在今天，25年之前的设计还是阴魂不散，Vista不是一个新的操作系统，在vista 的名号掩盖之下实际上有很多老式的设计，这些都是为了保护系统的兼容性。

　　微软现在出于一个两难的境地。如果微软真的是想从头开始设计的话，很可能就要牺牲金钱上的收益，这是微软不愿意做的。

　　几年以前，微软曾经试着去与过去的设计做一个了断，计划叫做“下一代安全计算基础”(NGSCB)计划，但是最后还是不了了之。

　　有分析人士认为，微软实际上还是在走老路，这样就能保证其在市场上的龙头地位。有一位专家说，如果他是盖茨的话，就会与过去做一个了断，开发一个与过去完全不同的系统。

　　在其它方面，微软微软开发了一套身份策略系统，但是这只是以Windows为中心的方法。他们从不尝试其它的操作平台。由于微软始终不接受SAML标准，这是一个很大的错误，不利于这一个行业的长远发展。

　　Linux, Unix 和Macintosh操作系统使用了比微软操作系统更安全的设计。但是Vista和XP2在安全上还是有所提高。

　　实际上，微软在安全问题上已有一点臭名昭著，小的改变不足以改变其形象。微软有很多天才身份认证专家，但是他们的意见很少被微软采纳，很可能是被压制了。一些与微软系统相兼容的第三方安全软件提供商也一直在努力。

　　在微软的一些部门中，譬如管理CRM或办公产品的部门，他们根本未与第三方安全软件厂商合作，但是它们的核心操作系统却更加开放。但是与微软合作最烦人的就是你可能需要获得官方的认证，但是微软并没有更新其技术文件。

　　有专家说，微软很多操作系统根本就没有记录，因为操作系统不断发布新的版本的升级，没有人能够把这些都记录下来。譬如微软改变周二发布补丁的惯例，然后数据连接程序库也被改变，但是这并不会改变文件记录，但是程序却不能运行了。我们不得不研究这些变化。

　　在过去的几年，并没有大规模的蠕虫攻击，譬如Code Red, Blaster 和 Nimbda，微软的漏洞造成全球性的恐慌。现在黑客把攻击的重点转向了第三方网络插件。因为过去黑客找到微软的漏洞很简单，但是随着微软产品的不断改进，微软现在有专业人士在查找这些漏洞。

　　NAC(网络访问控制)：防火墙还够用吗?

　　并不是每个人都需要NAC，但是对于控制个人的网络访问还是很有效的工具。

　　NAC对于那些需要监管的行业是很有效的。NAC对外界的访问终端进行综合的检查，可以帮助管理人员在合法的终端上执行企业的安全政策。

　　绝大多数的NAC平台不仅仅起这点作用，还有记录这些表现，这些记录可能在支付卡行业(PCI)和：健康保险携带和责任法案(HIPAA)中需要。

　　根据Gartner的调查，NAC在扫描用户的问题上表现优异。绝大多数Gartner在部署客户网络的时候都将NAC作为优先考虑。2007年，很多安全管理人员将NAC视为一种战略性的安全过程，它可以为客户网络带来很大的好处。

　　如果企业中的员工复杂，既有全职员工，合同工，还有经常访问网络的客户，NAC可以保证他们使用的设备符合配置标准。对于不满足条件的机器，NAC既可以修复他们，或是隔离，或是访问限定的资源就不至于造成很大的损害。

　　类似的，如果企业的各个部门的网络需要隔离，就可以使用NAC中的不同层级的授权控制。

　　如果企业根据兼容要求，不同类型的工作人员，和全球战略的不同使用NAC，　我们将会掀起一场新的变革。

　　不久，NAC将成为多层安全架构中不可或缺的部分，对于防火墙的依赖将减小。而是根据安全层级的不同寻求解决威胁的办法。NAC不一定是必须的，但是将会成为新的安全架构的关键部件。

　　如果没有NAC，很多网络就像没有设防一样。这一技术将会降低受到威胁的机器访问网络造成危害的可能性。但是并不能完全保证安全。NAC可以处理传统的防火墙不能应对的威胁，尽管NAC也有不能处理的问题，但是可以做出应有的贡献。

　　扪心自问;防火墙真的够了吗?如果你的答案是肯定的，那么NAC绝对是多于的。它提供的只是额外的主机完整性检查，但是对于目前的防火墙中的授权和认证没什么价值。

　　IT能够解决补丁管理吗?

　　补丁和漏洞管理工具更像是在一个静态的，控制的环境中保护受威胁的计算机。在IT部门经理人的眼中，这是他们优先考虑的技术区域，他们把更多的精力放在漏洞扫描，补丁测试和软件分布过程。

　　根据企业管理联盟(EMA)对250名IT经理的调查，超过四分之三(76%)的企业有自己的补丁管理产品，并且认为补丁策略是保证企业安全的重要方法。相关行业报告表明，补丁产品近年下降了。观察人士认为这是反映了市场补丁产品和IT管理上的成熟。

　　相关厂商说，在哪些需要补丁上没有什么改变，但是那些远程用户却很难及时获得补丁。有些厂商的对应策略就是使用虚拟个网络(VPN)来实现补丁，但是更新不定时。

　　有些企业的补丁策略很成熟，但是厂商往往在发布补丁的时候会进行事前的测试，这会减弱企业的补丁策略。

　　企业抱怨说，厂商应该在补丁发布之前就应该在内部测试完毕。相比微软等闭源企业来说，这对于开源技术更加简单。

　　尽管行业观察人士指出了现行的补丁策略的很多问题，补丁更多需要考虑的是用户的使用环境。他们警告说，尽管现在的补丁管理技术很成熟，因为环境升级为虚拟化和复杂的应用程序结构，补丁策略还需要继续向前发展。开发商还需要把虚拟化技术等加入工具中更好的帮助用户下载补丁。

　　EMA的一位专家说，这是一种相对成熟的技术，但是并不是说我们完全了解了它。譬如说，我们还不是很了解在虚拟环境中的补丁;服务器和台式机的虚拟化正在抛弃过往的补丁规则。这位专家还说，虚拟化不仅带来了复杂，还有就是在同一时间对增加的指数级的电脑添加补丁。这可能会导致IT经理加速补丁测试，这就可能导致配置上的冲突。测试是补丁的关键，但是随着零天攻击的增多和虚拟机器的大量出现，保护网络环境显得更加复杂了。

　　增加了独立的补丁，补丁可能会演变成IT经理新的挑战。随着网络环境变得更加复杂和厂商分布补丁数量的增多，测试的层级和补丁的发布将会与过往很不同，这对于IT经理来说是一个挑战。

　　我们现在需要努力的就是从传统的先后补丁顺序转向多个厂商，因为所有的结构层级——硬件，操作系统是实体，虚拟化软件和虚拟化机器——那么在选择下载补丁时的顺序是怎么样才是最好呢?