虛擬化環(huán)境中的安全:越來越多的事情在改變
越來越多的事情在改變……
五年后,在利用虛擬化來提供整體安全態(tài)勢(shì)方面幾乎沒什么進(jìn)展。在大多數(shù)情況下,這仍然是一個(gè)連接問題,而不是服務(wù)層問題,服務(wù)層被整合到基礎(chǔ)設(shè)施或者直接綁定到工作負(fù)載。
供應(yīng)商來來去去,很多現(xiàn)在的供應(yīng)商從根本上被虛擬化運(yùn)營模式打亂了。這些虛擬化/管理程序平臺(tái)供應(yīng)商仍然是實(shí)現(xiàn)有效安全性的關(guān)鍵所在。(筆者認(rèn)為這將會(huì)成為主流虛擬化平臺(tái)供應(yīng)商***技術(shù)官的博客戰(zhàn)爭(zhēng)的關(guān)鍵所在,我們可能會(huì)看到安全進(jìn)入虛擬環(huán)境的最糟糕用例變成現(xiàn)實(shí))。
我們已經(jīng)花了五年時(shí)間掙扎于復(fù)雜的部署情況,其中“不適當(dāng)?shù)?rdquo;整合了傳統(tǒng)的安全設(shè)備。再加上到混合模式的緩慢遷移—其中的虛擬設(shè)備遭受著“四騎士”的弊病,以及基于平臺(tái)的安全功能來實(shí)現(xiàn)無縫集成的緩慢進(jìn)展和可用性,我們不難看出為什么我們還沒有看到安全生態(tài)系統(tǒng)的振興。
需要注意的是,大多數(shù)虛擬化安全解決方案(基礎(chǔ)設(shè)施為中心的世界觀)仍然專注于這樣的復(fù)制物理部署和設(shè)計(jì)模式:利用基于(虛擬)網(wǎng)絡(luò)的設(shè)備形成因素以及試圖集成管理程序來實(shí)現(xiàn)“虛擬化感知”。最近,云計(jì)算和“軟件定義一切”的影響正在阻止新安全模型的部署讓位給更靈活、自動(dòng)化和集成的安全產(chǎn)品。
這在很大程度上是因?yàn)樘摂M化平臺(tái)被打亂了,從基本的計(jì)算、網(wǎng)絡(luò)和服務(wù)器資源虛擬化(主要專注于管理程序作為附加價(jià)值)演變?yōu)樽詣?dòng)化的、動(dòng)態(tài)的、服務(wù)為中心的云計(jì)算。這進(jìn)一步轉(zhuǎn)移了重點(diǎn)、功能和使用這些解決方案的用戶。
在企業(yè)中,開源虛擬化和編排平臺(tái)(例如OpenStack和Apache CloudStack)的出現(xiàn)正在推動(dòng)跨管理程序(超越領(lǐng)導(dǎo)供應(yīng)商VMWare)提供安全的需要。
云計(jì)算將會(huì)演變?yōu)橐环N混合模型,這種模型互連著內(nèi)部部署虛擬化基礎(chǔ)設(shè)施和類似云計(jì)算的可編程應(yīng)用及服務(wù)交付平臺(tái),以及公共云平臺(tái)中的資源,這加劇了提升和加快我們安全架構(gòu)和運(yùn)營做法的需要。
雖然基礎(chǔ)設(shè)施的安全性仍然非常重要,但這種轉(zhuǎn)變讓我們意識(shí)到,我們也需要保護(hù)應(yīng)用工作負(fù)載以及它們帶來的信息。這意味著我們應(yīng)較少注重傳統(tǒng)的政策執(zhí)行標(biāo)準(zhǔn),例如IP地址和VLAN,更注重附加政策到(完全集成到這些平臺(tái)的編排系統(tǒng)的)工作負(fù)載。
這需要共同努力
老實(shí)說,如果要在虛擬環(huán)境提供受風(fēng)險(xiǎn)驅(qū)動(dòng)的良好的安全和合規(guī)功能,這在很大程度上取決于對(duì)需要保護(hù)的應(yīng)用和信息的了解。這包括適當(dāng)?shù)乜紤]威脅模式和業(yè)務(wù)影響;調(diào)整架構(gòu)和方法;平衡運(yùn)營和技術(shù)的影響。虛擬化和云計(jì)算都是這些方程式中簡(jiǎn)單的運(yùn)作和部署變量。
在這里并沒有什么神奇的方法,只有一些務(wù)實(shí)的做法。
當(dāng)筆者詢問IT安全經(jīng)理對(duì)于虛擬化環(huán)境中“***做法”的考慮因素時(shí),筆者強(qiáng)調(diào)了提供各種解決方案的不同類型的供應(yīng)商之間的復(fù)雜的相互作用:
虛擬化平臺(tái)供應(yīng)商 云平臺(tái)供應(yīng)商 編排平臺(tái)供應(yīng)商 網(wǎng)絡(luò)平臺(tái)供應(yīng)商(包括軟件定義網(wǎng)絡(luò)) 安全行業(yè)生態(tài)系統(tǒng)供應(yīng)商 管理、風(fēng)險(xiǎn)和合規(guī)供應(yīng)商
很多人敏銳地指出,在很多情況下,第1到第4項(xiàng)是由一些平臺(tái)供應(yīng)商作為整合功能集在本地提供。并且,與IT中的很多事情一樣,虛擬領(lǐng)域的安全性需要權(quán)衡這些捆綁服務(wù)。
多種選擇和供應(yīng)商戰(zhàn)略往往意味著復(fù)雜性,而單一選擇和缺乏多樣性則提供更緊密的集成和更少的移動(dòng)部件。根據(jù)安全和合規(guī)企業(yè)的成熟度(以及它們與其余IT部門的集成度),這些元素之間的緊張關(guān)系可能將控制局面或者最終帶來相當(dāng)?shù)钠茐男院蜔o效性。
簡(jiǎn)短的回答是,你需要安全作為一個(gè)普遍功能(服務(wù)),遍布在這些組件中,并將其在良好定義的抽象的消費(fèi)模式中連接在一起。
