市场研究公司ForresterResearch曾预测:到2009年,全部企业服务器资源将有42%实施虚拟化。 这里的虚拟化概念包含许多内容,如服务器虚拟化、操作系统虚拟化、内核虚拟化和虚拟化平台,如VMwareESX和微软的Hyper-V。这些技术首先都是以虚拟化的形式进入数据中心的。这些技术将越来越便宜和容易使用,使它们成为数据中心的{dy}批虚拟实验品的诱人的候选产品。整合、节省成本、动态配置和动态迁移等因素正在推动大多数IT部门试验某种形式的虚拟平台,推动虚拟系统在数据中心的应用。大规模基础设施系统的出现已经使虚拟平台成为数据中心中全面的面向公众的应用基础设施。 为了解决把虚拟化引进到数据中心所产生的安全问题,出现了一个更大的技术行业:虚拟化安全(virtsec)。我们所面临的挑战之一是理解“虚拟化安全是什么?我如何应对虚拟化安全?” 首先物理数据中心的{zj0}安全做法同样适用于虚拟数据中心:按照软交换机上的虚拟局域网对网络分段;根据适当的身份识别和授权对网段进行隔离的管理;专家级支持排除故障;在虚拟平台和网络级诊断故障。虽然虚拟安全市场最终将繁荣起来,但是,所有这些虚拟安全工具都要按照严格的安全做法和实施标准重新打造。虽然情况发生了变化,但是,在虚拟数据中心实施安全措施与物理数据中心成功地实施安全措施的原则是相同的:拥有IT环境知识;熟悉风险管理;在部署之前、期间和之后有适应性的规划。 其次相对于一些传统安全会有新的需求,需要一套完整的数据安全保护体系。就目前来看单凭加密软件就要承担起数据泄露防护的全部功能,是不可能的。从整个信息安全的发展动态来看,加密软件仅仅只是数据安全的开始。加密软件将会集成到数据安全保护体系中,成为数据安全保护解决方案的的一部分。 早期的加密软件的基本思路是通过对核心文档加密,从源头上控制文档的使用,防止泄密。但是,随着信息技术和管理理念的发展,单一的加密功能已经不能满足现在用户的需求。 很多加密软件厂商在产品设计理念上,还处于相当初级的阶段,还仅仅把加密软件当作一个产品来考虑,认为加密软件只要功能再做的复杂一些,稳定性、安全性做得再高一些,就足够了。但是,从整个信息安全发展的潮流来看,这种想法相当的原始。 在信息安全管理方面,分层架构多重防护理念已经是主流。在一个网络内部的多个区域,通常采用多种方案的分层保护来确保信息安全,此种方法可以避开单点安全防御的失败。虽然现在的加密软件结合了身份认证、权限管理、自动备份、日志审计等功能,已经具备了分层保护的雏形,但从市场上的产品来看,这 些功能还是相对比较简单,没有做深做透。 从国际国内信息安全厂商的动态来看,把文档加密软件集成到数据安全保护体系中,已经成为主流。这一点可以从国外信息安全厂商越演越烈的并购潮中看出来。Sophos收购了德国数据安全公司Utimaco, McAfee去年秋天买下SafeBoot公司。 随着虚拟化技术的广泛应用,数据安全的{zj0}解决方案更需要一套完整的数据安全保护体系。 虚拟化是把物理资源转变为逻辑上可以管理的资源,打破物理结构之间的壁垒,物理资源都透明地运行在各种各样的物理平台上,资源的管理都将按逻辑方式进行,xx实现资源的自动化分配。虚拟化是IT大趋势,有服务器虚拟化、存储虚拟化、网络虚拟化、终端虚拟化、桌面虚拟化等。 加密软件多数采用C/S架构,对主机、服务器、终端等物理位置上的文档进行加密。而虚拟化技术将会给加密软件带来巨大的冲击,首先是终端的虚拟化。因为终端不再存储文档,所有文档将存放在虚拟的服务器上,终端所操作的文档都只是虚拟的图像文件,不用对本地文档进行管理。存储虚拟化的影响更为直接。虚拟存储将会把文档存放在某个虚拟的区域里,不再像以前样存放在本机或者上传到服务器。网络虚拟化将会使文档的流转途径发生巨大变化,服务器的虚拟化将会使文档的存储位置变得更无序可循。 综合以上种种因素,虚拟化时代的文档管理,将能够智能地将文档进行过滤,区别出文档是涉密或者是普通文档,然后将涉密文档进行自动、强制、透明地加密。在文档的创建、使用、流转、存储中将采用“ 追踪加密”技术。与此同时,还将会通过有效的终端管理、网络边界管理、电子邮件管理、网络接入管理等手段,防止非法用户连接到虚拟服务器,并防止涉密信息非法输出内部网络。而对涉密文档合法流转到内网之后,也能对涉密文档进行管理。 在去年的安全信息大会(RSA)上思科的CEO钱伯斯曾在主题演讲中表示,“云计算”是大势所趋,不可避免,但是却会对网络的安全产生巨大的影响。他说:“你根本无法知道公司的数据中心中都有哪些东西。”但钱伯斯也承认:“这是一场安全噩梦,而且无法通过传统方式解决。” 虚拟化最严重的可靠性及安全问题都是与操作系统相关的问题。最核心问题还是在于现有操作系统都不符合POLA——{zd1}授权原则 (PrincipleOfLeastAuthority)。POLA说的是系统划分组件的方式,应当使必然存在于某个组件中的缺陷,不至于波及其他组件。 每个组件仅应该得到完成它本身工作所需的权限,不多不少。具体来说,它应该无权读写属于其他组件的数据,无权读取它自身地址空间之外的任何计算机内存,无权执行与它无关的敏感操作指令,无权访问不该访问的I/O设备,诸如此类。现有操作系统xx违反以上原则,结果就是造成众多可靠性及安全问题。 |
郑重声明:资讯 【虚拟化安全——什么是VirtSec?我们的问题是什么?_虚拟化安全空间QQ ...】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——
