摘要:一般人都會認(rèn)為��,私有云是最最安全的云計算模式����,因為是由企業(yè)自身直接掌控云計算的安全控制運行。通過關(guān)注目錄變更和數(shù)據(jù)駐留位置的變化����,企業(yè)可以解決私有云中一些與虛擬機蔓延現(xiàn)象相關(guān)的安全挑戰(zhàn)。
??? ?? 一般人都會認(rèn)為����,私有云是最最安全的云計算模式,因為是由企業(yè)自身直接掌控云計算的安全控制運行���。但是�,如同眾多理論或產(chǎn)品原型一樣�,其在現(xiàn)實世界中所面臨實際問題的復(fù)雜性往往是難以預(yù)料的�,也就是說新事物在帶來利益的同時也對我們提出了安全性新命題的挑戰(zhàn)����。
?
較大的挑戰(zhàn)來自于減少障礙、創(chuàng)建和改變生產(chǎn)虛擬鏡像�����。讓我們來想象一下私有云環(huán)境是如何隨時間而演變的:員工創(chuàng)建“一次性”鏡像以滿足關(guān)鍵日期或質(zhì)保協(xié)助的要求�,從而導(dǎo)致虛擬機蔓延現(xiàn)象的產(chǎn)生,由于這種半歸檔虛擬鏡像可能會無限期地存在下去�,這樣就會對安全帶來威脅??焖夔R像重用也可能導(dǎo)致鏡像的不當(dāng)使用,例如使用開發(fā)鏡像作為生產(chǎn)應(yīng)用程序的基線�����。
?
現(xiàn)在來看����,這些問題也是老生常談了;在傳統(tǒng)物理數(shù)據(jù)中心世界中����,服務(wù)器蔓延現(xiàn)象和配置問題都是普遍存在的���。所不同的是,私有云中的相關(guān)限制已消失不見���。而在傳統(tǒng)數(shù)據(jù)中心中���,采購硬件的需求還是受到一定限制的或已得到了控制;而在公共云計算中,與企業(yè)外部進行交互的需求(或根據(jù)鏡像支付費用)也延緩了相關(guān)擴張速度�。在私有云中,還起作用的限制因素就是存儲和處理能力����,這是一個近乎沒有上限的上限。
?
預(yù)防這些問題通常是呼吁企業(yè)的自律���。但是�����,對于那些深刻理解“沒有任何一個 預(yù)防措施是100%有效”這句話的安全企業(yè)來說�,檢測和預(yù)防具有同等的重要意義����。讓我們來看看這些企業(yè)是如何通過檢測不當(dāng)配置或“惡意”鏡像以及鏡像不當(dāng)使用來控制虛擬機蔓延現(xiàn)象的�。
?
查找惡意鏡像
在任何虛擬化部署中�,鏡像都如同雨后春筍般迅速出現(xiàn),但一般來說還是處于受控和合法的狀態(tài)����。企業(yè)的目標(biāo)不僅僅是識別是否有變化;它將通過定義合理的變化應(yīng)該是什么并將其作為比較標(biāo)準(zhǔn)來識別那些不當(dāng)變化。
?
現(xiàn)在���,很容易得到鏡像的列表——市場上的每個管理程序都默認(rèn)提供該功能����。而最困難的一部分是“了解那里合理的變化是什么”����。因為有了明確何為標(biāo)準(zhǔn)的需要,所以使用普通管理程序的詳細(xì)目錄功能將變得極具挑戰(zhàn)性����。你需要了解比現(xiàn)有鏡像更多的信息;為了找到惡意鏡像,你需要了解現(xiàn)有鏡像應(yīng)該是什么樣的���,同時你需要了解這些鏡像是如何進行配置的。
?
有一些適用于這類應(yīng)用的策略��,但其中最有效的是結(jié)合發(fā)現(xiàn)功能和執(zhí)行資產(chǎn)管理與庫存跟蹤的工具。如果你已經(jīng)擁有一些實現(xiàn)類似功能的工具(變化源于你從傳統(tǒng)數(shù)據(jù)中心所作的遷移工作)���,較好利用這些工具�����,諸如IBM Tivoli和SolarWinds Orion之類的現(xiàn)有庫存/發(fā)現(xiàn)軟件����。
?
但是�����,既然推動云計算部署實施的一般原因都是節(jié)省成本���,那么也就無法保證你能夠順利完成那些商業(yè)工具的采購任務(wù)�����,因此選擇若干個免費替代工具是非常有必要的���。Spiceworks免費、易于使用��,且具有發(fā)現(xiàn)網(wǎng)絡(luò)(內(nèi)置)和虛擬鏡像(通過工具實現(xiàn))的能力。請注意����,發(fā)現(xiàn)網(wǎng)絡(luò)只是找到可用、有響應(yīng)的主機���,所以你還可能需要使用兩套發(fā)現(xiàn)功能的工具���。
?
開源軟件FusionInventory也同樣是免費的(但是需要花功夫進行配置和使用),該軟件包括了SNMP��、NetBIOS和IP搜索功能(即尋找“活的”鏡像)�����,同時還通過代理和擴展為虛擬機提供了數(shù)據(jù)�����。配置FusionInventory將是一項極具挑戰(zhàn)性的工作����,但是它提供了一個預(yù)配置的虛擬設(shè)備,它將有助于進行現(xiàn)場配置和運行(雖然并不推薦它作為生產(chǎn)部署)。
?
查找不當(dāng)使用
查找惡意鏡像和不當(dāng)配置鏡像是很重要的�,但是當(dāng)對特定類型進行適當(dāng)配置鏡像(例如“QA WebLogic服務(wù)器)被用于全部各種目的而不是原定目的(如”生產(chǎn)支付應(yīng)用程序)時,將會發(fā)生什么情況?
?
從歷史經(jīng)驗來看����,這個問題是很難解決��。很多人都在關(guān)注管理程序軟件領(lǐng)域的演變——例如VMware的vShield App5的預(yù)防數(shù)據(jù)丟失功能��,該功能可確保搜索惡意數(shù)據(jù)更易于管理�����,但由于a)花費大量金錢��,b)對我們大多數(shù)人來說是“未來狀態(tài)”���,其責(zé)任在于在短期時間內(nèi)同時查找和控制數(shù)據(jù)�。一個策略是防止數(shù)據(jù)丟失(DLP)����。
?
以前已經(jīng)有大量的文章介紹了云計算遷移之前和遷移期間的DLP,但是我這里介紹的的DLP是在鏡像上的情況(在云計算遷移之后)���,即在測試/開發(fā)鏡像上尋找生產(chǎn)數(shù)據(jù)的臨時權(quán)宜之計�����。你可以通過集成DLP代理和測試與開發(fā)基線鏡像來做到這一點�����。如果你已擁有了DLP���,你可以直接使用;如果你沒有���,可以使用諸如OpenDLP或MyDLP之類的免費替代工具來監(jiān)控入站和出站數(shù)據(jù)流,如信用卡號��、社會安全號��、以及定制用戶提供的正規(guī)表示�。這兩個軟件都有可用于設(shè)置和快速投產(chǎn)的虛擬設(shè)備。
?
通過關(guān)注目錄變更和數(shù)據(jù)駐留位置的變化���,企業(yè)可以解決私有云中一些與虛擬機蔓延現(xiàn)象相關(guān)的安全挑戰(zhàn)��。
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/3560.html
