虛擬化提供了很多優(yōu)勢,但是也帶來了新的安全挑戰(zhàn)。如果組織沒有針對虛擬化環(huán)境及時更新IT安全策略,將會錯過潛在的提高效率的機會,并且使自己處于容易被攻擊的位置。在之前的問答題集合中,就VMware安全更新問題,專家進行了討論。在這個問題集中,我們將會采用一種更為寬泛的方式,討論組織應該如何在IT虛擬化環(huán)境中應用IT安全策略。
你認為在虛擬化環(huán)境中最大的安全挑戰(zhàn)是什么?這些挑戰(zhàn)是否隨著時間增長而發(fā)生變化?
專家:虛擬安全——這是一個矛盾的環(huán),就像“軍事情報”和“中肯意見”一樣。這真的是安全問題嗎?或者只是一個無中生有的討論。
很多業(yè)內專家對于這種特殊的邏輯安全管理問題都給出了相關建議。但是,這些方式在物理環(huán)境中也同樣有效。需要注意的一點是我所說的物理環(huán)境是指安裝在裸機上,而不是指任何其他具體的東西。
所有這一切說明,我感覺虛擬環(huán)境中最大的安全挑戰(zhàn)并不是技術相關的部分,而是現(xiàn)有的安全策略,具體來說,就是用于保護這些策略并且強制執(zhí)行的部分。
安全策略及其執(zhí)行過程已經(jīng)落后于技術的發(fā)展。大多數(shù)情況下,大多數(shù)安全專家還只是專注于物理基礎設施環(huán)境,但是其中的一些策略是和虛擬環(huán)境相對立的。比如不同安全區(qū)域間“white space”這樣的概念會迫使虛擬架構針對不同的區(qū)域建立單獨的環(huán)境,這樣會妨礙數(shù)據(jù)中心的整個進度。
現(xiàn)在我們擁有了技術。但是不幸的是,安全管理員和IT安全策略仍然停留在很久之前的水平。
進行常規(guī)維護和更新安全策略有多么重要?如果沒有正式的維護計劃會出現(xiàn)哪些問題?
專家:公司的安全策略應該是工作的出發(fā)點。它應該成為你的工作框架;將其做作為實驗的樣品。大多數(shù)情況下,公司的安全策略都過于死板,使其成為了一根束縛發(fā)展的繩子,而不是用于指導的原則。當嘗試引入新的技術時很容易導致一些問題,最顯而易見的就是可能與現(xiàn)有的策略相沖突。軟件防火墻就是很明顯的例子之一。它和硬件防火墻具有完全相同的功能,但是傳統(tǒng)的IT安全專家并不喜歡使用它們。安全專家會懷疑如果軟件防火墻不能提供物理隔離功能,怎么能提供和硬件防火墻同樣的防護效果。而事實是物理防火墻可以使用硬件,但是它們仍舊需要通過軟件方式來隔離流量,通過虛擬的本地區(qū)域網(wǎng)絡和流量控制來實現(xiàn)功能。更為重要的是,硬件防火墻使用的方式和軟件防火墻完全相同。
確保對環(huán)境進行日常檢查和維護更加重要。常規(guī)的周期性補丁和安全檢查比陳舊的安全策略能夠更好地保護環(huán)境安全。
組織是否需要書面的IT安全策略?應該如何來設計這種策略?
專家:互聯(lián)網(wǎng)上有很多網(wǎng)站都可以幫助和指導公司來制定安全策略。如果你想要了解如何制定安全策略,可以網(wǎng)上進行搜索,你將會發(fā)現(xiàn)很多相關的內容。而我所關注的是另外一個重要問題:為什么要創(chuàng)建安全策略?
公司是否需要書面的安全策略是一個有趣的問題。如果使用的人認為書面規(guī)定會對他們造成麻煩,他們就幾乎肯定會繞過或者忽略這些策略。拿密碼策略來說,一個簡單的字符串或者令人印象深刻的詞相比于一個最少需要8個字母的策略(必須包含數(shù)字、大寫字母和其他符號)更加安全。而一個明顯的事實是復雜的密碼會導致用戶將這些密碼記在紙上。如果擁有密碼重置策略,需要每隔一段時間就更換新的密碼,那么情況會變得更加復雜。
這樣的問題會引起安全策略需求方面的問題。所以應該怎樣準備地發(fā)現(xiàn)制定安全策略過程中的問題呢?首先,需要設定原則,而不是邊界。引導比強制要求更加容易。
需要記住任何安全策略中最為薄弱的一環(huán)就是人。在保證環(huán)境更加安全的前提下制定安全策略,但是不要讓他們引起問題或者麻煩,不要讓員工在使用過程中感覺困難。
需要記住得到鍵盤下面的寫著密碼的紙條,要比暴力破解容易的多。
為公司進行一次風險評估。不要只關注于邏輯保護;你同樣需要物理安全。