在2008年拉斯維加斯的黑帽安全會議上���,展示了歷時兩年的安全研究結(jié)果�,其《虛擬化(安全)啟示錄四騎士》試圖讓觀眾了解虛擬化和安全相交融的過去��、現(xiàn)在和未來��。
這個報告?zhèn)戎赜谡故咎摂M化計算���、存儲和網(wǎng)絡(luò)的實際運作是如何從根本上破壞安全性的;其“四騎士”可以歸結(jié)為:
整合物理設(shè)備功能�����,將它們重組作為一個整體的虛擬設(shè)備��,這將會產(chǎn)生低性能的解決方案����,無法擴展����,且難以管理����。
如果虛擬安全解決方案沒有正確地整合虛擬平臺的安全功能及其編排系統(tǒng)����,那么���,性能����、靈活性和可擴展性都將受到影響����。
復(fù)雜的、高度可用的虛擬安全應(yīng)用和網(wǎng)絡(luò)拓?fù)鋵⑿枰耆煌募軜?gòu)�、技術(shù)和運營模式。
虛擬化安全可能會引導(dǎo)企業(yè)從采購以硬件為中心的產(chǎn)品轉(zhuǎn)移到更受軟件驅(qū)動的產(chǎn)品�,同時,運營變化將需要徹底改革�,但企業(yè)往往不太管理這些軟成本。
盡管虛擬化是為了提供更好的安全性���,但虛擬化平臺供應(yīng)商普遍缺乏IT安全知識����,這可能會打擊早期的部署熱情。這些供應(yīng)商沒有完全掌握運營模式���,也無法解決網(wǎng)絡(luò)專家���、安全從業(yè)人員和供應(yīng)商30多年的部署所構(gòu)建的孤島運作障礙。同時��,安全從業(yè)人員幾乎沒有虛擬化的經(jīng)驗�。
為什么早期努力不夠
在筆者進行研究時,只有極少數(shù)傳統(tǒng)安全廠商已經(jīng)開始生產(chǎn)其物理設(shè)備的虛擬版本��。這些早期解決方案并沒有被很好地融入到虛擬化平臺的“編排”工作流程或者網(wǎng)絡(luò)數(shù)據(jù)路徑���,它們也不是“虛擬化感知的”��。大多數(shù)解決方案幾乎不了解環(huán)境或者工作負(fù)載����,它們只是被部署來提供保護�。
同樣的問題也困擾著圍繞這些虛擬化部署的傳統(tǒng)物理安全����,不過我們可以人為地通過外圍“咽喉要道”和架構(gòu)傳輸流量來解決這個問題����,通常將虛擬化環(huán)境的流量轉(zhuǎn)向到物理設(shè)備,然后傳回來���。雖然這種方法屬于“集裝箱式”且是隔離的,但這種方法使得部署和保護應(yīng)用編程低效甚至無效����。
大部分新奇的虛擬安全解決方案都試圖復(fù)制非虛擬化環(huán)境的部署和運作架構(gòu),而缺少創(chuàng)造�����、部署或破壞虛擬網(wǎng)絡(luò)和工作負(fù)載的靈活性和速度�。這些解決方案還缺乏可視性,并且沒有考慮這些虛擬網(wǎng)絡(luò)的不成熟性�,這可能導(dǎo)致安全控制很盲目。
讓這個問題進一步復(fù)雜化的是�,供應(yīng)商沒能認(rèn)識到安全和合規(guī)團隊曾經(jīng)用來監(jiān)控、測試和緩解威脅的設(shè)備和程序�����。安全供應(yīng)商的假設(shè)是,安全團隊能夠理解這些解決方案����,并將它們整合到流程。然而���,操作孤島和缺乏虛擬化技巧讓這不太可能實現(xiàn)���,但也不是完全不可能。工作負(fù)載的短暫性和完全移動性����,再加上構(gòu)成安全和信任的外圍模型的熟悉的物理架構(gòu)開始擴展,這意味著需要新模型的出現(xiàn)��。
很多初創(chuàng)公司開始推出專用的虛擬化感知解決方案�,并在虛擬結(jié)構(gòu)中,重新構(gòu)建安全討論和圍繞安全的運營模式��。但是�����,很多這種努力很快“擱淺”,主要是由于平 臺供應(yīng)商試圖在本地提供安全功能����,但是集成接觸點很糟糕。在虛擬環(huán)境中�����,以前負(fù)責(zé)安全的人不再控制安全政策的制定�、部署和執(zhí)行。
