網(wǎng)絡(luò)安全的6個(gè)急迫問(wèn)題描述分析

網(wǎng)絡(luò)安全的6個(gè)急迫問(wèn)題描述分析

1、值得為服務(wù)器虛擬化去冒險(xiǎn)嗎?從傳統(tǒng)服務(wù)器遷移到虛擬機(jī)(VM)環(huán)境的好處是通過(guò)硬件整合和卓越的靈活性來(lái)節(jié)省費(fèi)用。但是，這樣也許會(huì)帶來(lái)一些不好的結(jié)果，包括：安全間隙和虛擬服務(wù)器泛濫，這些都會(huì)引起審計(jì)人員的注意。BTGroup公司新興技術(shù)辦公室高級(jí)顧問(wèn)、支付卡行業(yè)標(biāo)準(zhǔn)審計(jì)員DouglasDrew說(shuō)：“VM安全性常常在事后才引起人們的注意。用戶如何進(jìn)行訪問(wèn)控制或?qū)徲?jì)?假設(shè)我將一個(gè)虛擬機(jī)實(shí)例從機(jī)架A遷移到機(jī)架B：一臺(tái)機(jī)架是一臺(tái)需要物理證章來(lái)連接控制臺(tái)的鎖定機(jī)架，而另一臺(tái)則不是嗎?VM系統(tǒng)管理程序允許隔離管理員A和B，使管理員A只能邏輯地接觸系統(tǒng)A，管理員B只能接觸系統(tǒng)B嗎?用戶如何根據(jù)架構(gòu)變化修改風(fēng)險(xiǎn)評(píng)估?“Drew表示，同更傳統(tǒng)的網(wǎng)絡(luò)一樣，VM環(huán)境不管是基于VMware、XenSource還是Microsoft的系統(tǒng)，都需要執(zhí)行ISO27002安全系統(tǒng)標(biāo)準(zhǔn)規(guī)定的最佳實(shí)踐。他說(shuō)：“我們看到了一些案例。在這些案例中，人們由于不理解這點(diǎn)而在采用VM上行動(dòng)緩慢?！痹S多人說(shuō)，不經(jīng)過(guò)定制的VM軟件不能滿足安全性的需要。Embotics公司是一家生產(chǎn)VM生命周期管理軟件的新興廠商。該公司營(yíng)銷副總裁DavidLynch說(shuō)：“虛擬機(jī)是可移動(dòng)的，它們被設(shè)計(jì)為可移動(dòng)的。用戶克隆了一臺(tái)物理服務(wù)器之后將其拿走。用戶失去了這臺(tái)物理服務(wù)器的身份，而用戶已有的管理工具是基于你擁有物理服務(wù)器的概念的?！癓ynch認(rèn)為，按照當(dāng)今的設(shè)計(jì)，由于身份號(hào)可以修改和復(fù)位，因此VMware的VirtualCenter管理不能阻止VM泛濫。他補(bǔ)充說(shuō)，確保使用一個(gè)以上的VirtualCenter的企業(yè)擁有唯一的VMID系統(tǒng)是不可能的。與VirtualCenter配合使用的Embotics軟件試圖利用密碼學(xué)散列函數(shù)以及元數(shù)據(jù)打下一個(gè)合法的和可信的VMID標(biāo)記來(lái)彌補(bǔ)不足。其他一些新興廠商，包括Fortisphere和ManageIQ也在設(shè)法解決VM泛濫問(wèn)題。一些安全廠商深信，主要VM軟件開(kāi)發(fā)商正爭(zhēng)先恐后地將推出產(chǎn)品來(lái)爭(zhēng)奪市場(chǎng)份額，而這導(dǎo)致了Q1Labs公司產(chǎn)品計(jì)劃經(jīng)理AndrewHay所說(shuō)的“安全性是事后才想到的問(wèn)題”。Hay指出，現(xiàn)在沒(méi)有NetFlow使能的虛擬交換機(jī)來(lái)幫助進(jìn)行活動(dòng)監(jiān)測(cè)。Hay說(shuō)：“用戶創(chuàng)建一個(gè)恰巧運(yùn)行在一臺(tái)機(jī)器上的獨(dú)立的網(wǎng)絡(luò)。但是，沒(méi)有人嘗試做虛擬化世界中的流量分析。”這會(huì)阻止IT經(jīng)理走虛擬化之路嗎?據(jù)Hay說(shuō)，結(jié)論是：“最好在起步之前，研究你的選擇?！?、阻止數(shù)據(jù)泄露招來(lái)了律師?數(shù)據(jù)丟失防護(hù)(DLP)――或所謂的數(shù)據(jù)泄露防護(hù)使用戶可以監(jiān)測(cè)非授權(quán)傳輸?shù)膬?nèi)容。但是，使用過(guò)這項(xiàng)技術(shù)的企業(yè)會(huì)發(fā)現(xiàn)DLP照亮了企業(yè)網(wǎng)絡(luò)更黑暗的角落，以致IT和業(yè)務(wù)經(jīng)理可能發(fā)現(xiàn)自己處于管理和法律風(fēng)險(xiǎn)中。信用信息服務(wù)機(jī)構(gòu)Equifax公司信息安全高級(jí)副總裁TonySpinelli在描述在他的公司中SymantecDLP部署的早期日子時(shí)說(shuō)：“你跳出忽視風(fēng)險(xiǎn)的火坑，又跳進(jìn)遵從性風(fēng)險(xiǎn)的陷阱?！边@迫使業(yè)務(wù)和IT管理人員進(jìn)行改革。更多的安全經(jīng)理會(huì)發(fā)現(xiàn)，一旦挑剔的審計(jì)人員知道部署了DLP工具，他們就會(huì)要求進(jìn)行安全改革，而忽視這些安全改革的企業(yè)將面臨法律風(fēng)險(xiǎn)。那么，這種“看到一切，知道一切”，以及DLP仍很昂貴的事實(shí)足以成為嚇走潛在購(gòu)買(mǎi)者的缺點(diǎn)嗎?也許，但這將意味著放棄最有發(fā)展前景的內(nèi)容監(jiān)測(cè)方法，而這種辦法是幫助企業(yè)擺脫管理和法律麻煩所真正需要的。安全經(jīng)理在提前了解DLP可能是一種顛覆性技術(shù)后，可以制定培訓(xùn)業(yè)務(wù)經(jīng)理(他們?cè)诖蠖鄶?shù)企業(yè)眼中是合法的數(shù)據(jù)所有者)以及審計(jì)員和法律人員的計(jì)劃。最近離開(kāi)MedStarHealth加盟Amtrak擔(dān)任首席信息系統(tǒng)官的RonBaklarz是一位有著使用DLP經(jīng)驗(yàn)的安全專業(yè)人士。他說(shuō)，他在使用MedStar所采用的ReconnexDLP時(shí)所采取的方式是讓業(yè)務(wù)人員參與數(shù)據(jù)監(jiān)管過(guò)程。Baklarz建議說(shuō)：“你必須與他們?cè)谧駨男陨祥_(kāi)展合作?！弊尳?jīng)過(guò)授權(quán)的業(yè)務(wù)人員登錄DLP系統(tǒng)，使他們可以積極參與數(shù)據(jù)丟失防護(hù)工作。3、云中的安全性：夢(mèng)想還是危險(xiǎn)?據(jù)Gartner分析師JohnPescatore說(shuō)，云中的安全服務(wù)，無(wú)論是電子郵件、拒絕服務(wù)(DoS)防護(hù)、安全漏洞掃描還是Web過(guò)濾，是取代購(gòu)買(mǎi)軟件或設(shè)備時(shí)采用的DIY方式的選擇。Pescatore建議說(shuō)，首先，需要考慮企業(yè)云中安全服務(wù)的兩個(gè)基本類型。第一個(gè)是基于帶寬的服務(wù)，如Internet服務(wù)提供商，或基于運(yùn)營(yíng)商的DoS防護(hù)和響應(yīng)。Pescatore說(shuō)：“例如，AT&T公司能夠比你更好地、更廉價(jià)地做這件事，此外他們還利用他們的帶寬在更上游的位置過(guò)濾掉攻擊。另一種選擇是從像ArborNetworks這樣的公司購(gòu)買(mǎi)防DoS設(shè)備，并靠自己建立保護(hù)防線。”P(pán)escatore表示，第二種云中服務(wù)是Gartner喜歡稱之為的“安全服務(wù)化”，它“完全與帶寬服務(wù)脫鉤”。例如，利用反垃圾郵件服務(wù)涉及將MX記錄改向提供給服務(wù)提供商，但不需要與單一運(yùn)營(yíng)商綁在一起的特定的帶寬服務(wù)。這種類型的服務(wù)包括垃圾郵件與殺病毒過(guò)濾、安全漏洞掃描以及Web過(guò)濾。一般來(lái)說(shuō)，它不包括的是DLP內(nèi)容監(jiān)測(cè)與過(guò)濾，或身份訪問(wèn)與管理，這些功能與內(nèi)部業(yè)務(wù)改變緊密相連。Pescatore說(shuō)，使用云中的安全服務(wù)化在保護(hù)移動(dòng)便攜機(jī)或?yàn)榉植己軓V的分支辦事處提供保護(hù)上具有很大的價(jià)值。他說(shuō)：“它對(duì)非常大的跨國(guó)企業(yè)具有很強(qiáng)的吸引力?！钡?，多數(shù)公司可能會(huì)發(fā)現(xiàn)繼續(xù)通過(guò)部署自己的安全設(shè)備過(guò)濾垃圾郵件、病毒和限制Web訪問(wèn)來(lái)保護(hù)內(nèi)部運(yùn)營(yíng)是一種更方便和高性價(jià)比的方式。過(guò)濾服務(wù)存在著潛在風(fēng)險(xiǎn)。你可能不愿意通過(guò)這類第三方服務(wù)傳送敏感的業(yè)務(wù)交易。并且，永遠(yuǎn)存在服務(wù)可能不再可供使用的可能性。Pescatore說(shuō)，所有這些云中服務(wù)仍相當(dāng)新。他只是在過(guò)去3年里看到隨著MessageLabs、Microsoft、Google的Postini和Websense加入到提供這類服務(wù)的廠商的行列中。Gartner估計(jì)，云中安全服務(wù)在整個(gè)安全市場(chǎng)中所占份額不超過(guò)20%，但將在今年年底增加到35%，并在2013年時(shí)猛增至70%.據(jù)調(diào)研公司IDC說(shuō)，去年，這個(gè)市場(chǎng)的電子郵件安全軟件細(xì)分規(guī)模為13.8億美元，專用設(shè)備細(xì)分為6.922億美元。云中服務(wù)(IDC稱之為托管服務(wù))細(xì)分為4.54億美元。軟件和專用設(shè)備細(xì)分預(yù)計(jì)將繼續(xù)穩(wěn)步增長(zhǎng)，托管服務(wù)市場(chǎng)細(xì)分規(guī)模將在今年增加至6.38億美元，2011年達(dá)到13.9億美元。云中服務(wù)的這種擴(kuò)展大大鼓舞了Jericho論壇。這是個(gè)由60多家企業(yè)組成的組織，這些企業(yè)一直在積極推動(dòng)擴(kuò)展到傳統(tǒng)企業(yè)邊界之外的創(chuàng)新的電子商務(wù)安全性。Jericho論壇董事會(huì)成員PaulSimmonds說(shuō)：“云中的Web過(guò)濾只是在過(guò)去16個(gè)月中才剛剛起飛。今天比幾年前有了更多的云中服務(wù)?！盨immonds說(shuō)，企業(yè)網(wǎng)絡(luò)中“正消失的邊界”將使云中安全服務(wù)成為今天許多企業(yè)探索的誘人的選擇。4、Microsoft會(huì)正確對(duì)待安全性嗎?在BillGates最后一次在RSA2007大會(huì)上出現(xiàn)在公眾面前時(shí)，他與CraigMundie(Gates將指揮公司產(chǎn)品安全發(fā)展方向的指揮棒交給了他)同臺(tái)亮相。這兩個(gè)人以自我批評(píng)的口吻解釋了Microsoft的軟件為什么達(dá)不到要求的原因。兩個(gè)人指出過(guò)去Microsoft軟件缺少安全性的原因可以追溯到早期年代的一種天真的想法。這種想法認(rèn)為由于“所有人都是善良的”并且數(shù)據(jù)中心似乎被謹(jǐn)慎地保護(hù)起來(lái)，所以不需要多少控制。NemertesResearch公司高級(jí)副總裁、創(chuàng)建合伙人AndreasAntonopoulos認(rèn)為，幾十年積累下來(lái)的包袱仍是Microsoft的負(fù)擔(dān)。他說(shuō)：“甚至在今天，25年前做出的基本設(shè)計(jì)決策仍困擾著Microsoft.WindowsVista不是一種新操作系統(tǒng)。在Vista外衣下有很多老的操作系統(tǒng)，為了確保應(yīng)用的向后兼容性，Vista承擔(dān)了過(guò)去20年積累的負(fù)擔(dān)。”Antonopoulos認(rèn)為，Microsoft處于一種兩難境地。如果這家公司的確決定在軟件上重起爐灶，它可能不得不犧牲財(cái)務(wù)優(yōu)勢(shì)。他說(shuō)：“這種事不可能發(fā)生?！盉urtonGroup分析師DanBlum表達(dá)了類似觀點(diǎn)，他說(shuō)：“從這個(gè)意義上講，他們是受害者。他們?cè)谒枷肷鲜艿较蚝蠹嫒菪缘南拗?。幾年前，Microsoft曾在所謂的下一代安全計(jì)算基礎(chǔ)(NGSCB)項(xiàng)目中尋求與過(guò)去決裂，但Microsoft停止了這個(gè)項(xiàng)目?！盡icrosoft仍沿著“方便性、靈活性和向后兼容性”的道路前進(jìn)，而這使得Microsoft在市場(chǎng)中具有最大的優(yōu)勢(shì)。Blum假設(shè)如果他是Gates，他會(huì)嘗試一種“并行方式”來(lái)開(kāi)發(fā)下一代可信任的操作系統(tǒng)，即使與已有應(yīng)用決裂?！霸诹硪恍┓矫妫琈icrosoft總體上制定了一種可行的身份戰(zhàn)略，但受到其以Windows為中心的方式的束縛?！盉lum說(shuō)，“他們永遠(yuǎn)不會(huì)批準(zhǔn)任何不同的平臺(tái)。例如，Microsoft缺少對(duì)SAML標(biāo)準(zhǔn)的支持就是個(gè)大錯(cuò)誤，不符合軟件行業(yè)的最大利益?！盇ntonopoulos認(rèn)為，Linux、Unix和Macintosh操作系統(tǒng)在發(fā)貨時(shí)具有比Microsoft產(chǎn)品更好的“安全設(shè)計(jì)狀態(tài)”。不過(guò)，Antonopoulos和Blum都認(rèn)為Microsoft在Vista和XP2上有了改進(jìn)?！皢?wèn)題在于Microsoft造成了一種壞的聲譽(yù)，擺脫這種惡名很難?！盇ntonopoulos說(shuō)。Microsoft擁有大量掌握著身份和信任專業(yè)知識(shí)的天才工程師，但他們?cè)诠こ虝?huì)議上表達(dá)的想法卻很少被采用到Microsoft軟件中。他補(bǔ)充說(shuō)：“我認(rèn)為這些想法肯定被駁回了。”對(duì)于一些與Microsoft密切合作的第三方安全軟件提供商來(lái)說(shuō)，有時(shí)也是很難受的。生產(chǎn)用于Microsoft桌面和服務(wù)器產(chǎn)品的口令和管理員管理工具的LiebermanSoftware公司總裁PhilLieberman說(shuō)：“這一直就是個(gè)過(guò)山車。Microsoft面臨的問(wèn)題是它不僅僅是一個(gè)公司;它是走在不同的道路上相互打架的存在分歧的多個(gè)公司?！癓ieberman說(shuō)，在一些Microsoft部門(mén)中，如那些管理CRM或Office產(chǎn)品的部門(mén)，不存在為安全性與第三方應(yīng)用合作的努力，而核心操作系統(tǒng)部則更開(kāi)放。但是，與Microsoft合作(這可能是獲得正式Microsoft認(rèn)證所必需的)的更令人生氣的部分是這家公司不更新技術(shù)文件。Lieberman說(shuō)：“很大一部分操作系統(tǒng)沒(méi)有記錄到文件中。他們前進(jìn)的速度很快，發(fā)行那么多的版本和更新，沒(méi)有人記錄他們?cè)谧鍪裁础＠?，如果Microsoft為周二補(bǔ)丁發(fā)布修改某個(gè)東西并且數(shù)據(jù)鏈接庫(kù)被修改了，他們不愿修改文件，而你的應(yīng)用則不能使用。我們不得不研究這個(gè)問(wèn)題，結(jié)果發(fā)現(xiàn)他們修改了它?！北M管承認(rèn)Microsoft不良的記錄，但另一些記錄卻讓人稍感安慰。Symantec公司安全響應(yīng)部經(jīng)理OliverFriedrichs說(shuō)：“Microsoft進(jìn)行改進(jìn)的努力產(chǎn)生了正面影響。我們必須在改進(jìn)操作系統(tǒng)安全性上給Microsoft一些表?yè)P(yáng)?！边^(guò)去幾年里，沒(méi)有出現(xiàn)過(guò)像CodeRed、Blaster和Nimbda這樣的利用Microsoft產(chǎn)品存在的漏洞在世界范圍造成重大破壞的災(zāi)難性的蠕蟲(chóng)攻擊。Friedrichs補(bǔ)充說(shuō)：“今天的攻擊者將注意力放在第三方Web插件上?！盨ystemExperts公司總裁JonGossels說(shuō)：“很容易選擇Microsoft產(chǎn)品作為攻擊目標(biāo)，因?yàn)樗鼈儫o(wú)處不在，而且歷史上存在問(wèn)題。但是他們的產(chǎn)品每年都在改進(jìn)，有很多專業(yè)人員在努力尋找產(chǎn)品存在的隱患?！?、NAC：你的防火墻足夠用了嗎?網(wǎng)絡(luò)訪問(wèn)控制(NAC)并不是為所有人準(zhǔn)備的，但它可以成為控制個(gè)人獲得網(wǎng)絡(luò)接入環(huán)境的有價(jià)值的工具。NAC可以在對(duì)終端進(jìn)行全面的檢查后，再允許終端進(jìn)入企業(yè)網(wǎng)絡(luò)。這類檢查有助于那些要求合法終端必須被正確配置的企業(yè)。大多數(shù)NAC平臺(tái)不僅執(zhí)行這種功能，而且還記錄執(zhí)行過(guò)程，而這是不同管理規(guī)定(如PCI標(biāo)準(zhǔn)和醫(yī)療保險(xiǎn)便攜與責(zé)任法)所要求的。如果企業(yè)擁有經(jīng)常使用它們的網(wǎng)絡(luò)的全職雇員、承包商和客戶構(gòu)成的多樣化的用戶群體，NAC可以幫助確保他們用來(lái)連接的設(shè)備符合配置政策。對(duì)于達(dá)不到要求的機(jī)器，NAC可以修補(bǔ)它們，隔離它們或批準(zhǔn)它們?cè)L問(wèn)只有有限資源并且它們只能造成有限破壞的網(wǎng)段。同樣，必須按部門(mén)或職能劃分網(wǎng)絡(luò)的企業(yè)可以利用NAC中的授權(quán)控制將訪問(wèn)權(quán)限控制在相當(dāng)精細(xì)的水平上。ForresterResearch公司分析師RobWhitely說(shuō)：“如果公司面臨多種遵從性要求(Sarbanes-Oxley法、PCI、HIPAA)，擁有多樣化的勞動(dòng)大軍(雇員、承包商、遠(yuǎn)程工作人員、合作伙伴、供應(yīng)商)和全球運(yùn)營(yíng)(需要按地區(qū)、業(yè)務(wù)單位以及其他情況劃分環(huán)境)，那么NAC最終將成為分層安全架構(gòu)中的元素?！边@種分層的安全架構(gòu)較少依賴于作為主要防線的周邊防火墻，而更多的依賴于尋求減少威脅的不同的安全層。他說(shuō)，NAC并不是必需的，但是它將成為這些新安全架構(gòu)的至關(guān)重要的組成部分。多數(shù)網(wǎng)絡(luò)沒(méi)有NAC仍可以存在下去。這項(xiàng)技術(shù)防止受到損害的機(jī)器獲得網(wǎng)絡(luò)接入以及減少如果它們得逞所造成的破壞。但它并不能保證安全性。NAC是為應(yīng)對(duì)傳統(tǒng)的3層防火墻不能對(duì)付的威脅而生的，現(xiàn)在出現(xiàn)了NAC不能對(duì)付但可以做出重要貢獻(xiàn)的威脅。Whiteley說(shuō)：“問(wèn)問(wèn)你自己：你的防火墻足夠用了嗎?如果夠用了，很可能就不需要NAC了。NAC提供額外的主機(jī)完整性檢查，但這除了更細(xì)粒度的認(rèn)證和授權(quán)之外(這些實(shí)際上只是試圖彌補(bǔ)今天防火墻存在的不足)，沒(méi)有提供其他的價(jià)值。”6、IT解決了補(bǔ)丁管理問(wèn)題了嗎?補(bǔ)丁和安全漏洞管理工具可以承擔(dān)檢測(cè)和保護(hù)一個(gè)基本上靜態(tài)的、受控的環(huán)境中存在漏洞的機(jī)器的任務(wù)。這一技術(shù)領(lǐng)域被認(rèn)為是IT經(jīng)理中的重點(diǎn)任務(wù)。IT經(jīng)理很可能用了很多年時(shí)間來(lái)完善他們的漏洞掃描、補(bǔ)丁測(cè)試和軟件分發(fā)過(guò)程。據(jù)EnterpriseManagementAssociates公司的一項(xiàng)調(diào)查顯示，接受調(diào)查的250位IT經(jīng)理中的76%使用某種補(bǔ)丁管理產(chǎn)品，并說(shuō)打補(bǔ)丁是個(gè)非常重要的過(guò)程。VanDykeSoftware的第五次年度企業(yè)安全調(diào)查采訪了300位網(wǎng)絡(luò)管理員。調(diào)查發(fā)現(xiàn)30%的人仍為打補(bǔ)丁去擔(dān)心，這一數(shù)字比過(guò)去幾年減少了。一些業(yè)界觀察家推測(cè)擔(dān)心的減少反映了補(bǔ)丁管理產(chǎn)品和IT經(jīng)理的修補(bǔ)過(guò)程中的成熟度。佛羅里達(dá)州Gainesville市Exactech公司網(wǎng)絡(luò)管理員CraigBush說(shuō)：“我們實(shí)際上沒(méi)有任何改變需要被修補(bǔ)的東西的事情，除了遠(yuǎn)程訪問(wèn)用戶之外，這些用戶一直給我們保持修補(bǔ)造成困難。目前，我們必須等到客戶機(jī)連接在我們的VPN后才進(jìn)行更新，而這永遠(yuǎn)是不規(guī)律的?！盓xactech公司的修補(bǔ)過(guò)程很成熟，但廠商可以通過(guò)為用戶節(jié)省在把補(bǔ)丁部署到分散的機(jī)器之前恰當(dāng)?shù)販y(cè)試補(bǔ)丁的時(shí)間，來(lái)方便修補(bǔ)過(guò)程。他說(shuō)：“廠商應(yīng)當(dāng)確保在發(fā)布補(bǔ)丁之前全面地測(cè)試過(guò)它