虛擬化提供了很多優(yōu)勢,但是也帶來(lái)了新的安全挑戰。如果組織沒(méi)有針對虛擬化環(huán)境及時(shí)更新IT安全策略,將會(huì )錯過(guò)潛在的提高效率的機會(huì ),并且使自己處于容易被攻擊的位置。在之前的問(wèn)答題集合中,就VMware安全更新問(wèn)題,專(zhuān)家進(jìn)行了討論。在這個(gè)問(wèn)題集中,我們將會(huì )采用一種更為寬泛的方式,討論組織應該如何在IT虛擬化環(huán)境中應用IT安全策略。
你認為在虛擬化環(huán)境中最大的安全挑戰是什么?這些挑戰是否隨著(zhù)時(shí)間增長(cháng)而發(fā)生變化?
專(zhuān)家:虛擬安全——這是一個(gè)矛盾的環(huán),就像“軍事情報”和“中肯意見(jiàn)”一樣。這真的是安全問(wèn)題嗎?或者只是一個(gè)無(wú)中生有的討論。
很多業(yè)內專(zhuān)家對于這種特殊的邏輯安全管理問(wèn)題都給出了相關(guān)建議。但是,這些方式在物理環(huán)境中也同樣有效。需要注意的一點(diǎn)是我所說(shuō)的物理環(huán)境是指安裝在裸機上,而不是指任何其他具體的東西。
所有這一切說(shuō)明,我感覺(jué)虛擬環(huán)境中最大的安全挑戰并不是技術(shù)相關(guān)的部分,而是現有的安全策略,具體來(lái)說(shuō),就是用于保護這些策略并且強制執行的部分。
安全策略及其執行過(guò)程已經(jīng)落后于技術(shù)的發(fā)展。大多數情況下,大多數安全專(zhuān)家還只是專(zhuān)注于物理基礎設施環(huán)境,但是其中的一些策略是和虛擬環(huán)境相對立的。比如不同安全區域間“white space”這樣的概念會(huì )迫使虛擬架構針對不同的區域建立單獨的環(huán)境,這樣會(huì )妨礙數據中心的整個(gè)進(jìn)度。
現在我們擁有了技術(shù)。但是不幸的是,安全管理員和IT安全策略仍然停留在很久之前的水平。
進(jìn)行常規維護和更新安全策略有多么重要?如果沒(méi)有正式的維護計劃會(huì )出現哪些問(wèn)題?
專(zhuān)家:公司的安全策略應該是工作的出發(fā)點(diǎn)。它應該成為你的工作框架;將其做作為實(shí)驗的樣品。大多數情況下,公司的安全策略都過(guò)于死板,使其成為了一根束縛發(fā)展的繩子,而不是用于指導的原則。當嘗試引入新的技術(shù)時(shí)很容易導致一些問(wèn)題,最顯而易見(jiàn)的就是可能與現有的策略相沖突。軟件防火墻就是很明顯的例子之一。它和硬件防火墻具有完全相同的功能,但是傳統的IT安全專(zhuān)家并不喜歡使用它們。安全專(zhuān)家會(huì )懷疑如果軟件防火墻不能提供物理隔離功能,怎么能提供和硬件防火墻同樣的防護效果。而事實(shí)是物理防火墻可以使用硬件,但是它們仍舊需要通過(guò)軟件方式來(lái)隔離流量,通過(guò)虛擬的本地區域網(wǎng)絡(luò )和流量控制來(lái)實(shí)現功能。更為重要的是,硬件防火墻使用的方式和軟件防火墻完全相同。
確保對環(huán)境進(jìn)行日常檢查和維護更加重要。常規的周期性補丁和安全檢查比陳舊的安全策略能夠更好地保護環(huán)境安全。
組織是否需要書(shū)面的IT安全策略?應該如何來(lái)設計這種策略?
專(zhuān)家:互聯(lián)網(wǎng)上有很多網(wǎng)站都可以幫助和指導公司來(lái)制定安全策略。如果你想要了解如何制定安全策略,可以網(wǎng)上進(jìn)行搜索,你將會(huì )發(fā)現很多相關(guān)的內容。而我所關(guān)注的是另外一個(gè)重要問(wèn)題:為什么要創(chuàng )建安全策略?
公司是否需要書(shū)面的安全策略是一個(gè)有趣的問(wèn)題。如果使用的人認為書(shū)面規定會(huì )對他們造成麻煩,他們就幾乎肯定會(huì )繞過(guò)或者忽略這些策略。拿密碼策略來(lái)說(shuō),一個(gè)簡(jiǎn)單的字符串或者令人印象深刻的詞相比于一個(gè)最少需要8個(gè)字母的策略(必須包含數字、大寫(xiě)字母和其他符號)更加安全。而一個(gè)明顯的事實(shí)是復雜的密碼會(huì )導致用戶(hù)將這些密碼記在紙上。如果擁有密碼重置策略,需要每隔一段時(shí)間就更換新的密碼,那么情況會(huì )變得更加復雜。
這樣的問(wèn)題會(huì )引起安全策略需求方面的問(wèn)題。所以應該怎樣準備地發(fā)現制定安全策略過(guò)程中的問(wèn)題呢?首先,需要設定原則,而不是邊界。引導比強制要求更加容易。
需要記住任何安全策略中最為薄弱的一環(huán)就是人。在保證環(huán)境更加安全的前提下制定安全策略,但是不要讓他們引起問(wèn)題或者麻煩,不要讓員工在使用過(guò)程中感覺(jué)困難。
需要記住得到鍵盤(pán)下面的寫(xiě)著(zhù)密碼的紙條,要比暴力破解容易的多。
為公司進(jìn)行一次風(fēng)險評估。不要只關(guān)注于邏輯保護;你同樣需要物理安全。
