摘要:一般人都會認為,私有云是最最安全的云計算模式��,因為是由企業自身直接掌控云計算的安全控制運行���。通過關注目錄變更和數據駐留位置的變化��,企業可以解決私有云中一些與虛擬機蔓延現象相關的安全挑戰����。
??? ?? 一般人都會認為�,私有云是最最安全的云計算模式,因為是由企業自身直接掌控云計算的安全控制運行。但是�,如同眾多理論或產品原型一樣���,其在現實世界中所面臨實際問題的復雜性往往是難以預料的�,也就是說新事物在帶來利益的同時也對我們提出了安全性新命題的挑戰��。
?
較大的挑戰來自于減少障礙、創建和改變生產虛擬鏡像���。讓我們來想象一下私有云環境是如何隨時間而演變的:員工創建“一次性”鏡像以滿足關鍵日期或質保協助的要求,從而導致虛擬機蔓延現象的產生�,由于這種半歸檔虛擬鏡像可能會無限期地存在下去��,這樣就會對安全帶來威脅?�?焖夔R像重用也可能導致鏡像的不當使用�����,例如使用開發鏡像作為生產應用程序的基線����。
?
現在來看�,這些問題也是老生常談了;在傳統物理數據中心世界中,服務器蔓延現象和配置問題都是普遍存在的��。所不同的是���,私有云中的相關限制已消失不見�。而在傳統數據中心中,采購硬件的需求還是受到一定限制的或已得到了控制;而在公共云計算中�,與企業外部進行交互的需求(或根據鏡像支付費用)也延緩了相關擴張速度���。在私有云中�,還起作用的限制因素就是存儲和處理能力���,這是一個近乎沒有上限的上限�。
?
預防這些問題通常是呼吁企業的自律。但是���,對于那些深刻理解“沒有任何一個 預防措施是100%有效”這句話的安全企業來說,檢測和預防具有同等的重要意義���。讓我們來看看這些企業是如何通過檢測不當配置或“惡意”鏡像以及鏡像不當使用來控制虛擬機蔓延現象的�����。
?
查找惡意鏡像
在任何虛擬化部署中����,鏡像都如同雨后春筍般迅速出現��,但一般來說還是處于受控和合法的狀態����。企業的目標不僅僅是識別是否有變化;它將通過定義合理的變化應該是什么并將其作為比較標準來識別那些不當變化。
?
現在���,很容易得到鏡像的列表——市場上的每個管理程序都默認提供該功能。而最困難的一部分是“了解那里合理的變化是什么”���。因為有了明確何為標準的需要,所以使用普通管理程序的詳細目錄功能將變得極具挑戰性�。你需要了解比現有鏡像更多的信息;為了找到惡意鏡像���,你需要了解現有鏡像應該是什么樣的�����,同時你需要了解這些鏡像是如何進行配置的。
?
有一些適用于這類應用的策略���,但其中最有效的是結合發現功能和執行資產管理與庫存跟蹤的工具。如果你已經擁有一些實現類似功能的工具(變化源于你從傳統數據中心所作的遷移工作)�,較好利用這些工具���,諸如IBM Tivoli和SolarWinds Orion之類的現有庫存/發現軟件。
?
但是�,既然推動云計算部署實施的一般原因都是節省成本,那么也就無法保證你能夠順利完成那些商業工具的采購任務����,因此選擇若干個免費替代工具是非常有必要的。Spiceworks免費、易于使用��,且具有發現網絡(內置)和虛擬鏡像(通過工具實現)的能力。請注意,發現網絡只是找到可用�����、有響應的主機�,所以你還可能需要使用兩套發現功能的工具。
?
開源軟件FusionInventory也同樣是免費的(但是需要花功夫進行配置和使用),該軟件包括了SNMP�、NetBIOS和IP搜索功能(即尋找“活的”鏡像)�����,同時還通過代理和擴展為虛擬機提供了數據。配置FusionInventory將是一項極具挑戰性的工作���,但是它提供了一個預配置的虛擬設備,它將有助于進行現場配置和運行(雖然并不推薦它作為生產部署)����。
?
查找不當使用
查找惡意鏡像和不當配置鏡像是很重要的���,但是當對特定類型進行適當配置鏡像(例如“QA WebLogic服務器)被用于全部各種目的而不是原定目的(如”生產支付應用程序)時��,將會發生什么情況?
?
從歷史經驗來看,這個問題是很難解決。很多人都在關注管理程序軟件領域的演變——例如VMware的vShield App5的預防數據丟失功能,該功能可確保搜索惡意數據更易于管理����,但由于a)花費大量金錢�,b)對我們大多數人來說是“未來狀態”����,其責任在于在短期時間內同時查找和控制數據。一個策略是防止數據丟失(DLP)。
?
以前已經有大量的文章介紹了云計算遷移之前和遷移期間的DLP�,但是我這里介紹的的DLP是在鏡像上的情況(在云計算遷移之后)�,即在測試/開發鏡像上尋找生產數據的臨時權宜之計�����。你可以通過集成DLP代理和測試與開發基線鏡像來做到這一點。如果你已擁有了DLP�����,你可以直接使用;如果你沒有�,可以使用諸如OpenDLP或MyDLP之類的免費替代工具來監控入站和出站數據流,如信用卡號��、社會安全號�、以及定制用戶提供的正規表示。這兩個軟件都有可用于設置和快速投產的虛擬設備。
?
通過關注目錄變更和數據駐留位置的變化����,企業可以解決私有云中一些與虛擬機蔓延現象相關的安全挑戰����。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除���。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/3560.html
