chenshi 2011-06-28
匆忙实施企业内部技术资源的虚拟化和云计算能够有服务器整合等许多优势,但是,这会超过传统的安全和身份管理做法发展的速度。这会产生巨大的漏洞,混乱的感觉以及安全产品和服务应该用在多厂商虚拟机管理程序环境的什么地方的疑问。
Gartner分析师Neil MacDonald上星期在一年一度的Gartner安全与风险管理峰会身上称,虚拟化将显著改变你保护和管理你的计算环境的方式。工作量更加移动并且更难保护。它打破了与物理位置捆绑在一起的安全政策。我们需要不依赖于网络结构的安全政策。
Gartner预测称,目前将近一半以上的x86服务器工作量是虚拟化的。VMware是显而易见的市场领先者。不过,微软的Hyper-V正在增长。思杰也是一个竞争对手。Gartner主张企业应该计划向私有云架构迁移。但是,同时,Gartner承认管理工具和安全还没有增长到能够满足这种情况的程序。
MacDonald称,管理程序还没有它们要取代的物理系统那样安全。那个基础层得完整性是极为重要的。你不想让这个管理程序层被攻破。
MacDonald表示,目前经常缺少对内部虚拟机与虚拟机之间的通讯的控制和可见性。1号虚拟机应该与3号虚拟机对话吗?你如何知道它们正在受到攻击?这些通讯永远不会出现在我们的物理网络。有些企业愿意接受这种不确定性。有些企业不愿意。
但是,这是满足一些需求的问题。这些需求就是要找出现有的选择解决虚拟化和云安全问题。按照MacDonald观点,除了负载均衡器和流量整形器之外,在虚拟机中还应该有广泛的安全控制措施,如虚拟防火墙、入侵防御系统和杀毒软件。
例如,Altor、思科、瞻博网络、IBM、Hytrust、惠普、Enterasys、McAfee、Catbird、StillSecure、Sourcefire、Reflex Systems和StoneSoft等公司越来越多地为防火墙、监视和入侵防御提供虚拟设备选择。MacDonald称,对于VMware平台,Check Point更进了一步。在缓慢起步之后,大型安全厂商终于在虚拟安全控制方面取得了进步。
VMware已经提供了VMSafe API(应用程序编程接口)以便使基于管理程序的“内部检查”更流畅。这样就不需要多个软件代理。MacDonald承认,部署和运行软件代理的需求一直是我们存在的祸根。但是,对于它是如何工作的仍然有许多问题。
仅次于赛门铁克和McAfee的第三大杀毒软件厂商趋势科技是在这方面最快接受VMware的想法的,包括支持VMware最新的安全API以及支持能够为vSphere进行杀毒扫描的“Deep Security”(深度安全)产品中的vShield。趋势科技对于基于虚拟机的杀毒软件一直收取较少的费用,也许是认为它没有损失什么东西。
不过,MacDonald称,趋势科技对于vShield采取的深度安全的方法的缺点是:仍然需要VMware的“假代码”使它运行并且需要一个管理程序扩展。此外,它仅用于Windows,只能隔离而不能删除恶意软件感染;它只进行恶意软件扫描。vShield有软件承担防火墙的任务。vShield可能的缺点是它太具体地针对VMware vSphere,用户将得到“另一个竖井”。
向更多地以虚拟化为重点的基于软件的安全控制过渡预计将会发生,尽管现在还充满了不确定性。Gartner预测称,虽然目前这种应用还只是一位数,但是,到2015年,杀毒等安全控制措施将有40%是虚拟化的。MacDonald补充说,这个事情将会发生,尽管思科和瞻博网络等厂商一直在拖后腿,因为这些厂商喜欢销售价格过高的物理硬件。
MacDonald称,从安全和管理的角度看,目前主要的想法是要把虚拟化平台当作你的数据中心的最重要的IT平台。
然而,对于负责云方面的身份识别管理的厂商来说,这个情况似乎特别具有挑战性。
Gartner分析师Gregg Kreizman称,在大约两年前,我们还在谈论如何做内部身份管理的事情。现在是谈论如何围绕SaaS(软件即服务)获得我们的武器?或者,我们习惯于管理应用程序。但是,现在这些应用程序在云中...,这就产生了一个以前从未问过的问题:如果我们在那里有身份识别会怎样?
Kreizman称,这是与你以前的公司内部部署的系统相对应的云。由于SaaS提供商使用不同的界面,现在有日益增多的更广泛的攻击界面的“界面风险”。此外,更多的人可能会接触数据。谷歌在安全做法方面没有走在前面。Salesforce稍微好一些。
Kreizman称,遗憾的是,让身份识别信息进入SaaS的默认的途径是直接经过管理员。可能包括FTP或者Dropbox。Dropbox是曾经遭遇多次安全故障的一项服务,包括本星期出现的一次口令管理问题造成许多用户信息曝光。
目前,要把自己公司身份识别管理系统扩展到云中的企业可以寻求把公司身份识别管理系统(如CA公司的系统或者IBM的系统)扩展到具体的云提供商,如果它能够在混合的环境中得到支持。此外,Exostar和Covisint进入一个名为“社区联合中心”的新的领域以便为具体类型的组织服务。在这个案例中,主要是航天、国防、汽车制造和健康医疗等行业的组织。Kreizman称,这些用户愿意为成功的联盟和SaaS提供商的身份识别服务付费。
Kreizman称,进入与云联系在一起的身份识别管理市场还有许多新的选择,从而产生一个“动荡的市场”,甚至有点像西部蛮荒的市场。
这方面的厂商有Okta、Clavid、Symplified、Onelogin、Ping Identity (提供单独的联合软件)和Nordic Edge (已被英特尔收购)。包括Fisher International、idEntropy、Novell和Lighthouse在内的一些传统的身份识别和接入管理厂商正在销售给云提供商和客户带来好处的产品和服务。