企业须知:虚拟机隔离技术

日期:2017-2-16作者:Ed Moyle翻译:皮红 来源:TechTarget中国 英文

【TechTarget中国原创】

虚拟机隔离技术是一项很好的策略,能够有效防止病毒蔓延到整个云环境。关于隔离技术,Ed Moyle介绍了企业需要了解哪些方面。

Joseph Lister是现代外科之父,他防腐手术方法方面做出的开创性贡献,使他为人们所熟知。自1865年开始,Lister开始将苯酚和石炭酸实践应用到伤口、器械以及外科医生的穿戴上。

关于Lister的故事,其中有趣的一件是:医疗机构还没准备好接受Lister的技术要求的更改。例如,当时的手术器械通常包含多孔材料,如木材,它可能会诱发疾病;还有服装,包括手套,在手术操作中经常重复使用。虽然Lister的方法是开创性的,对病人能够直接产生更好的效果,但现实却相当无情;要想获得最好的效果,这要需要进行详细的调查、改造以及重新定位文化。

在现在的安全世界,Lister的方法可以类比为虚拟机(VM)隔离技术——利用分割和沙盒来控制云风险。举个例子,在2016年黑帽会议主题演讲中,White Ops的联合创始人Dan Kaminsky概述了microsandboxing技术,称为Autoclave,它的目的在于限制应用程序,与运行在外部的系统和系统组件之间相互感染。该技术的要点是创建一个隔离的、受控的环境,在其中可以执行关键的、与安全相关的任务。

此外,利用了容器化平台,如Docker或者Rocket的虚拟机隔离策略,除了运营方面的好处外,它更常用于云安全目的。由于容器化技术可以最大限度地减少手动配置更改(包括一次性更改),因此可以使用容器来最小化更改。它还可以当作一个策略来合理化补丁,并在运行的应用中引入额外的分段。

最后,软件定义外围(SDP)和微分段技术已成为备选方案,帮助在云环境中引入虚拟机隔离。SDP能够创建“black cloud,”这是一个虚拟的外围网络,可以扩展到云环境中,如基础设施即服务。这使得组织内部的网络能够扩展到云环境中。

网络层的微分段技术使组织能够将安全策略分配特定的工作负载,并且,该策略能够在生态系统中的任何地方执行—包括连通性,同时,安全经理能够管理安全工具的运作,如入侵检测系统或者恶意软件和漏洞扫描。

对企业来说,虚拟机隔离是可行的

这些虚拟机隔离方法,在任何方式下都不是等效的;他们在范围和实现上都是不同的。也就是说,这些虚拟机隔离方法有一些共同之处:首先,这些虚拟机隔离方法都有助于减轻出现在云环境中的某类威胁。其次,同样的,Lister的方法需要收集数据,这些虚拟机隔离方法也一样。也就是说,并不是简单的从一个传统的、非孤立的方法迁移到这些虚拟机隔离模型。Kaminsky指出,目前,没有一个主要供应商支持Autoclave。

多年来,我们看到SDP的采用是缓慢且有限的;而且相比于安全目的,企业更看重部署和数据中心,所以就会经常部署容器技术。因此,对于那些想要利用虚拟机隔离技术作为安全措施的组织来说,这是否是真正的架构选项?当然是。但前提是,如果组织已经做好了准备,并且已经提前做了相关的调查。

考虑到这一点,如果想要探索这些方法是否正确,组织应该做些什么?想要采用这些策略的组织需要什么?

首先,也是最重要的,组织采用这一策略时,要识别出所有虚拟机隔离策略的复杂性。例如,你可知道你的强项在哪、系统组件和应用是做什么的,以及他们之间如何交互的。无论你是选择了虚拟机隔离还是分段技术,这都是事实。例如,组织如果不了解这些组件是如何共同工作的,就不能随机隔离多层应用组件,更不能奢望应用有效地运行。

重要的是,组织要理解所涉及的应用程序—它们是如何沟通的、它们的规范操作以及你想要隔离的关键部分是什么。如果目前这些你都不了解,或者如果你的理解有很大差距,那么,在走这条路之前,这是一个补救的办法。

同样,实现虚拟机隔离策略,意味着组织已经了解了想要将隔离技术扩展到工作负载、应用和系统的风险状况以及前景。可能还会产生额外的(与隔离相关的)复杂性,你在处理非敏感的应用或系统时,所面临的风险比较少。也就是说,如果没有充分理解这些应用可能会受到的风险及威胁,那么,就很难决定需要隔离什么。

最后,重要的是长期致力于虚拟机的隔离。记住,环境并不是静态的,环境经常改变来应对新的使用模式,改变和更新的发生可能取决于如何使用、业务需求、架构变化和许多其他原因。在创建虚拟机隔离模型上花费时间和精力,只会将虚拟机隔离模型引导到一个未知的、不受控制的状态。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Ed Moyle
Ed Moyle

Director of emerging business and technology at ISACA

云的数据保护>更多

  • Cisco CloudCenter Orchestrator漏洞如何工作?

    业界有一个关键的安全公告,是 针对Cisco CloudCenter Orchestrator中的一个漏洞,该漏洞导致Docker Engine管理端口可以在Cloud Orchestrator系统之外访问。

  • 如何发现和预防man-in-the-cloud攻击

    多年来,越来越多的信息已经转移到并存储在许多云平台中。Dropbox,Microsoft OneDrive和Google Drive等服务让这样的过程变得很容易。

  • 云日志安全事件如何高效管理?

    随着开发和运营团队不断把资源迁移向云端,企业对于基于云的服务也使用越来越多,致使安全团队不得不时刻准备应用对不预期的问题——大量新的预警和事件。

  • 企业须知:虚拟机隔离技术

    Joseph Lister是现代外科之父,他防腐手术方法方面做出的开创性贡献,使他为人们所熟知。自1865年开始,Lister开始将苯酚和石炭酸实践应用到伤口、器械以及外科医生的穿戴上。

技术手册>更多

  • 2013年云计算案例合集

    巨头侵入中国市场,也反映出用户已经接受了云计算技术。在过去的一年中,云计算也在各个行业中有了不俗的表现。

  • 云存概念解析

    众多的云炒作已经让人们对云概念混乱了,尤其是那些用于描述技术本身的术语。这本电子指南对“云洗白”一词给出了定义,并区分了云流行语和真正的云产品。

  • 云计算和大数据实践手册

    调查显示,大数据已经走入组织内部,正在改变开发人员的工作方式。实际上,Gartner的一项调查表明,超过70%的组织计划在2016年对大数据进行投资。

  • 云计算提供商OpenFlow指南

    软件定义网络(SDN)以及其最清晰可见的协议OpenFlow已经引发了热烈的讨论。几乎每一个主要的路由器和以太网交换机厂商都宣布“支持”OpenFlow,引出了数个会议的召开和初创公司的成立。作为主要的云运营商,比如谷歌和威瑞森(Verizon)已经测试和部署OpenFlow,其他的网络运营商和提供商急于知道在所有的兴奋点之下,是否有实体产生,尤其是这个实体有哪些本质的好处。在《云计算提供商OpenFlow指南》中,我们将简要介绍OpenFlow与SDN的关系,以及OpenFlow与云计算的关系,同时提供一些OpenFlow云提供商。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心