虚拟化提供了很多优势,但是也带来了新的安全挑战。如果组织没有针对虚拟化环境及时更新IT安全策略,将会错过潜在的提高效率的机会,并且使自己处于容易被攻击的位置。在之前的问答题集合中,就VMware安全更新问题,我和同时作为编辑及顾问的Tom Howarth进行了讨论。在这个问题集中,我们将会采用一种更为宽泛的方式,讨论组织应该如何在IT虚拟化环境中应用IT安全策略。
你认为在虚拟化环境中最大的安全挑战是什么?这些挑战是否随着时间增长而发生变化?
Tom Howarth:虚拟安全——这是一个矛盾的环,就像“军事情报”和“中肯意见”一样。这真的是安全问题吗?或者只是一个无中生有的讨论。
很多业内专家对于这种特殊的逻辑安全管理问题都给出了相关建议。但是,这些方式在物理环境中也同样有效。需要注意的一点是我所说的物理环境是指安装在裸机上,而不是指任何其他具体的东西。
所有这一切说明,我感觉虚拟环境中最大的安全挑战并不是技术相关的部分,而是现有的安全策略,具体来说,就是用于保护这些策略并且强制执行的部分。
安全策略及其执行过程已经落后于技术的发展。大多数情况下,大多数安全专家还只是专注于物理基础设施环境,但是其中的一些策略是和虚拟环境相对立的。比如不同安全区域间“white space”这样的概念会迫使虚拟架构针对不同的区域建立单独的环境,这样会妨碍数据中心的整个进度。
现在我们拥有了技术。但是不幸的是,安全管理员和IT安全策略仍然停留在很久之前的水平。
进行常规维护和更新安全策略有多么重要?如果没有正式的维护计划会出现哪些问题?
Howarth:公司的安全策略应该是工作的出发点。它应该成为你的工作框架;将其做作为实验的样品。大多数情况下,公司的安全策略都过于死板,使其成为了一根束缚发展的绳子,而不是用于指导的原则。当尝试引入新的技术时很容易导致一些问题,最显而易见的就是可能与现有的策略相冲突。软件防火墙就是很明显的例子之一。它和硬件防火墙具有完全相同的功能,但是传统的IT安全专家并不喜欢使用它们。安全专家会怀疑如果软件防火墙不能提供物理隔离功能,怎么能提供和硬件防火墙同样的防护效果。而事实是物理防火墙可以使用硬件,但是它们仍旧需要通过软件方式来隔离流量,通过虚拟的本地区域网络和流量控制来实现功能。更为重要的是,硬件防火墙使用的方式和软件防火墙完全相同。
确保对环境进行日常检查和维护更加重要。常规的周期性补丁和安全检查比陈旧的安全策略能够更好地保护环境安全。
组织是否需要书面的IT安全策略?应该如何来设计这种策略?
Howarth:互联网上有很多网站都可以帮助和指导公司来制定安全策略。如果你想要了解如何制定安全策略,可以网上进行搜索,你将会发现很多相关的内容。而我所关注的是另外一个重要问题:为什么要创建安全策略?
公司是否需要书面的安全策略是一个有趣的问题。如果使用的人认为书面规定会对他们造成麻烦,他们就几乎肯定会绕过或者忽略这些策略。拿密码策略来说,一个简单的字符串或者令人印象深刻的词相比于一个最少需要8个字母的策略(必须包含数字、大写字母和其他符号)更加安全。而一个明显的事实是复杂的密码会导致用户将这些密码记在纸上。如果拥有密码重置策略,需要每隔一段时间就更换新的密码,那么情况会变得更加复杂。
这样的问题会引起安全策略需求方面的问题。所以应该怎样准备地发现制定安全策略过程中的问题呢?首先,需要设定原则,而不是边界。引导比强制要求更加容易。
需要记住任何安全策略中最为薄弱的一环就是人。在保证环境更加安全的前提下制定安全策略,但是不要让他们引起问题或者麻烦,不要让员工在使用过程中感觉困难。
需要记住得到键盘下面的写着密码的纸条,要比暴力破解容易的多。
为公司进行一次风险评估。不要只关注于逻辑保护;你同样需要物理安全。
CIO之家 www.ciozj.com 公众号:imciow