当数据中心越来越虚拟化时 保护工作该怎么做?(上)

日期:2015-1-12作者:DAVE SHACKLEFORD

【TechTarget中国原创】

随着企业越来越多地投资于虚拟化技术,安全专业人士都在试图管理这些环境中的安全性。

很多公司不得不面对的现实是:虚拟环境内的安全性并没有达到传统物理网络和系统的标准。

为什么企业安全团队迟迟没有部署必要的政策和流程来安全地管理虚拟化平台呢?有时候,这是因为不成熟技术(例如端点安全)不能很好地应用在虚拟数据中心。在其他情况下,安全团队可能不知道“他们不知道什么”,或者在部署流程和程序中不够成熟。

现在越来越多的企业虚拟化其数据中心,在这些环境中部署基本的安全做法和技术的需求也在增加。现在有很多可用技术来帮助IT安全在虚拟基础设施部署控制,但安全团队只是部分地使用这些工具。随着计算工作负载逐渐增多,安全团队应该认真评估虚拟化专有技术,并更深入地整合到其数据中心。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

虚拟化安全>更多

  • 实施虚拟化:管理员应避免五大安全错误

    如今,有约50%的服务器负载在虚拟机上运行,并且在未来的几年还要增加。虚拟化带来很多好处,也不可避免地带来许多由其自身产生的威胁……

  • 弹性的安全给弹性的云:东软打造基于OpenStack的FWaaS方案

    云计算在带来弹性的同时,也冲撞着原有的网络边界,而对于云数据中心的安全来说,传统网关技术已无能为力,急需一套专门为云数据中心打造的边界安全方案。这也是为什么云提供商会积极联合安全厂商共建云安全生态圈的原因,在为用户带来弹性计算资源的同时,亦解决安全如何随着用户计算资源的增加而弹性扩展的问题。

  • 当数据中心越来越虚拟化时 保护工作该怎么做?(上)

    随着企业越来越多地投资于虚拟化技术,安全专业人士都在试图管理这种环境下的安全性。然而很多公司不得不面对的现实是:虚拟环境内的安全性并没有达到传统物理网络和系统的标准……

  • 当数据中心越来越虚拟化时 保护工作该怎么做?(下)

    随着企业越来越多地投资于虚拟化技术,安全专业人士都在试图管理这种环境下的安全性。然而现实是:虚拟环境内的安全性并没有达到传统物理网络和系统的标准……

相关推荐

  • 微软7月周二补丁日:发布Windows NTLM补丁

    微软公司于2017年7月周二补丁日修复了微软产品和服务中50多个漏洞,包括19个关键漏洞以及针对Windows NTLM的重要补丁。

  • 对付僵尸网络?这两大策略要get住

    最近,安全博主Brian Krebs的网站遭受了历史上最强大的一次DDoS攻击,经证实,由路由器、安全摄像机(监控摄像机)、打印机、数字视频记录机(DVR)构成的大规模僵尸网络是发动此攻击的罪魁祸首……

  • 实施虚拟化:管理员应避免五大安全错误

    如今,有约50%的服务器负载在虚拟机上运行,并且在未来的几年还要增加。虚拟化带来很多好处,也不可避免地带来许多由其自身产生的威胁……

  • 为何Windows版QuickTime突然寿终正寝?

    在QuickTime中两个零日漏洞被披露、且苹果公司突然停止支持该软件后,美国国土安全部和趋势科技公司发布安全公告建议用户卸载Windows版QuickTime。苹果公司随后宣布Windows版QuickTime寿终正寝……

技术手册>更多

  • 威胁评估与防御战略

    安全威胁在每个行业都有所不同。但是,无论你在金融服务、制造业、教育、政府部门还是健康医疗行业工作,某些有效的防御战略总能够帮助你阻止安全威胁使你的业务陷入瘫痪。在信息安全领域中几乎没有亘古不变的真理,但来自恶意软件的威胁会不停地进化却是安全界的永恒话题……

  • 电子邮件安全手册

    随着垃圾邮件,邮件病毒,邮件广告等不速之客大量涌入我们的邮箱,电子邮件变得越来越令人烦恼了。本技术手册将为你介绍电子邮件的安全问题以及如何实现电子邮件安全。

  • 如何选择应用防火墙

    Web应用防火墙(Web application firewall)或应用层防火墙是一种旨在保护Web应用程序免受攻击和数据泄露危害的装置或软件。那些急于达到PCI安全标准的企业在选择Web应用防火墙(WAF)时往往无所适从。怎样才知道该选择什么产品?如何才能有效地部署和管理这些工具和软件?如何把它们与现有的基础架构有机组合起来?下面我们将列出在评估产品时帮助你遵从法规的需要着重考虑的几点。

  • 信息安全人员从业指南

    随着黑客的攻击越来越广泛,企业信息安全问题也越来越突出。随着这种趋势不断增加,信息安全职务将变得越来越有价值,行业竞争也日趋激烈。职业管理、职业发展和职业规划在决定未来发展道路上正变得越来越重要。本技术手册将为您介绍信息安全职业、信息安全人员职业规划、信息安全行业薪酬问题,以及信息安全人员的职业生涯抉择。我相信这不仅仅是针对信息安全人员的从业指南,IT界的工作者都可以借鉴。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

随着企业越来越多地投资于虚拟化技术,安全专业人士都在试图管理这些环境中的安全性。

很多公司不得不面对的现实是:虚拟环境内的安全性并没有达到传统物理网络和系统的标准。

为什么企业安全团队迟迟没有部署必要的政策和流程来安全地管理虚拟化平台呢?有时候,这是因为不成熟技术(例如端点安全)不能很好地应用在虚拟数据中心。在其他情况下,安全团队可能不知道“他们不知道什么”,或者在部署流程中不够成熟。

现在越来越多的企业虚拟化其数据中心,在这些环境中部署基本的安全做法和技术的需求也在增加。现在有很多可用技术来帮助IT安全在虚拟基础设施部署控制,但安全团队只是部分地使用这些工具。随着计算工作负载逐渐增多,安全团队应该认真评估虚拟化专有技术,并更深入地整合到其数据中心。

管理不当的环境

好消息是,虚拟化可以简化漏洞修复和配置管理,但同时也需要严格的目录管理来避免虚拟机泛滥。

在虚拟化环境中,很多虚拟机位于单个物理系统,即所谓的多租户。管理程序软件负责维护虚拟机之间的分隔和隔离。同时,开源或商业虚拟网络和虚拟安全设备或插件可以辅助这一工作。

在虚拟化环境中,配置管理其实可以更容易。使用模板可以简化新虚拟机的部署,模板维护可以帮助集中化配置管理工具和做法到一个位置。微软、Citrix和Vmware都提供工具和其他办法来创建和管理虚拟机生命周期以及配置虚拟机生命周期及配置。

虽然漏洞修复在很多企业仍然是挑战,但对虚拟机测试补丁通常更容易,因为你可以在测试前对镜像快照,并在测试完成时回滚到原来的镜像。

然而,在很多环境的主要安全问题是缺乏虚拟机相关的完善的目录管理。管理员和开发人员可以很容易地创建虚拟机,这种简便性导致系统在配置时很少考虑到生命周期管理。有时候虚拟机可能会被暂停或关闭,并保持休眠一段时间;然而,与这些机器相关的文件仍然包含敏感数据。当虚拟机再次启用时,它们可能已经错过补丁修复和关键的配置控制。

想要正确管理虚拟环境的动态特性,运营团队需要更新和调整其变更管理流程来适应变化的节奏,同时考虑虚拟化堆栈中所有组件的依存关系—存储、网络和虚拟机管理程序。

角色和特权管理

在虚拟环境的职责分离也很困难。有些IT企业在开始虚拟机部署时,让现有的管理员和工程师团队设计并部署虚拟化技术。这一团队通常需要管理虚拟基础设施的各个组件,缺乏职责分离可能导致意外错误或者管理不当的环境(更不用提当某个虚拟化团队成员变成恶意内部人员所造成的问题)。

Vmware管理员使用默认的“管理员”角色执行所有管理活动并不是稀罕事。在虚拟环境中管理存储和网络对象的其他IT管理员通常也会承担这一角色,这些管理员通常有着过多的操作权限。

从网络安全方面来看,这种趋势是明显的后退。有些企业正在部署中央接入网关到其虚拟化管理工具,其中包括更强的的角色和权限管理。这样的产品例子是Hytrust设备—它整合了Vmware的vCenter管理平台。

流量问题

在虚拟数据中心的网络架构整合也可能导致影响安全的问题。由于所有虚拟机都共享硬件,虚拟机管理程序服务器或刀片服务器中的网络接口数量可能会决定网络流量的融合程度。

大多数虚拟环境包含正常的生产流量,以及管理流量来访问和操作虚拟化组件的存储流量(例如iSCSI或光纤通道)。此外,还有操作流量,例如动态虚拟机迁移(在Vmware环境中被称为vMotion)。

vMotion流量包含以文本形式发送的虚拟机(VM)内存内容,这可能包括敏感数据和身份验证凭证。管理流量可能包括配置详细信息或对攻击者有用的其他信息。这些信息与生产流量混杂可能会增加数据在环境内暴露机会,如果攻击者成功入侵环境,这可能导致数据泄露。现在很少企业会完全区别对待虚拟数据中心的所有这些数据类型。

请继续阅读《当数据中心越来越虚拟化时 保护工作该怎么做?(下)》