摘要:一般人都會(huì)認(rèn)為�����,私有云是最最安全的云計(jì)算模式����,因?yàn)槭怯善髽I(yè)自身直接掌控云計(jì)算的安全控制運(yùn)行��。通過(guò)關(guān)注目錄變更和數(shù)據(jù)駐留位置的變化���,企業(yè)可以解決私有云中一些與虛擬機(jī)蔓延現(xiàn)象相關(guān)的安全挑戰(zhàn)����。
??? ?? 一般人都會(huì)認(rèn)為,私有云是最最安全的云計(jì)算模式�����,因?yàn)槭怯善髽I(yè)自身直接掌控云計(jì)算的安全控制運(yùn)行����。但是,如同眾多理論或產(chǎn)品原型一樣�,其在現(xiàn)實(shí)世界中所面臨實(shí)際問(wèn)題的復(fù)雜性往往是難以預(yù)料的,也就是說(shuō)新事物在帶來(lái)利益的同時(shí)也對(duì)我們提出了安全性新命題的挑戰(zhàn)����。
?
較大的挑戰(zhàn)來(lái)自于減少障礙、創(chuàng)建和改變生產(chǎn)虛擬鏡像����。讓我們來(lái)想象一下私有云環(huán)境是如何隨時(shí)間而演變的:?jiǎn)T工創(chuàng)建“一次性”鏡像以滿(mǎn)足關(guān)鍵日期或質(zhì)保協(xié)助的要求,從而導(dǎo)致虛擬機(jī)蔓延現(xiàn)象的產(chǎn)生�����,由于這種半歸檔虛擬鏡像可能會(huì)無(wú)限期地存在下去��,這樣就會(huì)對(duì)安全帶來(lái)威脅?�?焖夔R像重用也可能導(dǎo)致鏡像的不當(dāng)使用����,例如使用開(kāi)發(fā)鏡像作為生產(chǎn)應(yīng)用程序的基線。
?
現(xiàn)在來(lái)看��,這些問(wèn)題也是老生常談了;在傳統(tǒng)物理數(shù)據(jù)中心世界中�,服務(wù)器蔓延現(xiàn)象和配置問(wèn)題都是普遍存在的。所不同的是�����,私有云中的相關(guān)限制已消失不見(jiàn)�。而在傳統(tǒng)數(shù)據(jù)中心中,采購(gòu)硬件的需求還是受到一定限制的或已得到了控制;而在公共云計(jì)算中��,與企業(yè)外部進(jìn)行交互的需求(或根據(jù)鏡像支付費(fèi)用)也延緩了相關(guān)擴(kuò)張速度��。在私有云中��,還起作用的限制因素就是存儲(chǔ)和處理能力�,這是一個(gè)近乎沒(méi)有上限的上限���。
?
預(yù)防這些問(wèn)題通常是呼吁企業(yè)的自律�����。但是��,對(duì)于那些深刻理解“沒(méi)有任何一個(gè) 預(yù)防措施是100%有效”這句話(huà)的安全企業(yè)來(lái)說(shuō)����,檢測(cè)和預(yù)防具有同等的重要意義。讓我們來(lái)看看這些企業(yè)是如何通過(guò)檢測(cè)不當(dāng)配置或“惡意”鏡像以及鏡像不當(dāng)使用來(lái)控制虛擬機(jī)蔓延現(xiàn)象的�����。
?
查找惡意鏡像
在任何虛擬化部署中�,鏡像都如同雨后春筍般迅速出現(xiàn),但一般來(lái)說(shuō)還是處于受控和合法的狀態(tài)�。企業(yè)的目標(biāo)不僅僅是識(shí)別是否有變化;它將通過(guò)定義合理的變化應(yīng)該是什么并將其作為比較標(biāo)準(zhǔn)來(lái)識(shí)別那些不當(dāng)變化。
?
現(xiàn)在���,很容易得到鏡像的列表——市場(chǎng)上的每個(gè)管理程序都默認(rèn)提供該功能���。而最困難的一部分是“了解那里合理的變化是什么”。因?yàn)橛辛嗣鞔_何為標(biāo)準(zhǔn)的需要����,所以使用普通管理程序的詳細(xì)目錄功能將變得極具挑戰(zhàn)性����。你需要了解比現(xiàn)有鏡像更多的信息;為了找到惡意鏡像�����,你需要了解現(xiàn)有鏡像應(yīng)該是什么樣的�,同時(shí)你需要了解這些鏡像是如何進(jìn)行配置的。
?
有一些適用于這類(lèi)應(yīng)用的策略�����,但其中最有效的是結(jié)合發(fā)現(xiàn)功能和執(zhí)行資產(chǎn)管理與庫(kù)存跟蹤的工具���。如果你已經(jīng)擁有一些實(shí)現(xiàn)類(lèi)似功能的工具(變化源于你從傳統(tǒng)數(shù)據(jù)中心所作的遷移工作)���,較好利用這些工具,諸如IBM Tivoli和SolarWinds Orion之類(lèi)的現(xiàn)有庫(kù)存/發(fā)現(xiàn)軟件����。
?
但是��,既然推動(dòng)云計(jì)算部署實(shí)施的一般原因都是節(jié)省成本,那么也就無(wú)法保證你能夠順利完成那些商業(yè)工具的采購(gòu)任務(wù)��,因此選擇若干個(gè)免費(fèi)替代工具是非常有必要的����。Spiceworks免費(fèi)、易于使用����,且具有發(fā)現(xiàn)網(wǎng)絡(luò)(內(nèi)置)和虛擬鏡像(通過(guò)工具實(shí)現(xiàn))的能力。請(qǐng)注意���,發(fā)現(xiàn)網(wǎng)絡(luò)只是找到可用�、有響應(yīng)的主機(jī)�����,所以你還可能需要使用兩套發(fā)現(xiàn)功能的工具����。
?
開(kāi)源軟件FusionInventory也同樣是免費(fèi)的(但是需要花功夫進(jìn)行配置和使用),該軟件包括了SNMP����、NetBIOS和IP搜索功能(即尋找“活的”鏡像)�,同時(shí)還通過(guò)代理和擴(kuò)展為虛擬機(jī)提供了數(shù)據(jù)���。配置FusionInventory將是一項(xiàng)極具挑戰(zhàn)性的工作���,但是它提供了一個(gè)預(yù)配置的虛擬設(shè)備,它將有助于進(jìn)行現(xiàn)場(chǎng)配置和運(yùn)行(雖然并不推薦它作為生產(chǎn)部署)����。
?
查找不當(dāng)使用
查找惡意鏡像和不當(dāng)配置鏡像是很重要的,但是當(dāng)對(duì)特定類(lèi)型進(jìn)行適當(dāng)配置鏡像(例如“QA WebLogic服務(wù)器)被用于全部各種目的而不是原定目的(如”生產(chǎn)支付應(yīng)用程序)時(shí)��,將會(huì)發(fā)生什么情況?
?
從歷史經(jīng)驗(yàn)來(lái)看���,這個(gè)問(wèn)題是很難解決��。很多人都在關(guān)注管理程序軟件領(lǐng)域的演變——例如VMware的vShield App5的預(yù)防數(shù)據(jù)丟失功能�,該功能可確保搜索惡意數(shù)據(jù)更易于管理�,但由于a)花費(fèi)大量金錢(qián),b)對(duì)我們大多數(shù)人來(lái)說(shuō)是“未來(lái)狀態(tài)”����,其責(zé)任在于在短期時(shí)間內(nèi)同時(shí)查找和控制數(shù)據(jù)。一個(gè)策略是防止數(shù)據(jù)丟失(DLP)。
?
以前已經(jīng)有大量的文章介紹了云計(jì)算遷移之前和遷移期間的DLP���,但是我這里介紹的的DLP是在鏡像上的情況(在云計(jì)算遷移之后),即在測(cè)試/開(kāi)發(fā)鏡像上尋找生產(chǎn)數(shù)據(jù)的臨時(shí)權(quán)宜之計(jì)���。你可以通過(guò)集成DLP代理和測(cè)試與開(kāi)發(fā)基線鏡像來(lái)做到這一點(diǎn)����。如果你已擁有了DLP����,你可以直接使用;如果你沒(méi)有,可以使用諸如OpenDLP或MyDLP之類(lèi)的免費(fèi)替代工具來(lái)監(jiān)控入站和出站數(shù)據(jù)流���,如信用卡號(hào)�����、社會(huì)安全號(hào)�、以及定制用戶(hù)提供的正規(guī)表示�����。這兩個(gè)軟件都有可用于設(shè)置和快速投產(chǎn)的虛擬設(shè)備。
?
通過(guò)關(guān)注目錄變更和數(shù)據(jù)駐留位置的變化�����,企業(yè)可以解決私有云中一些與虛擬機(jī)蔓延現(xiàn)象相關(guān)的安全挑戰(zhàn)����。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/3560.html
