人們對“安全補丁”并不陌生,也大都有過給自己的電腦操作系統和各種軟件打補丁的經歷,但對于采用虛擬化與云計算的企業用戶而言,補丁管理卻不是一件易事。前不久,Gartner發布一份研究報告,內容重點是如何保障 Amazon Web Services 云端安全的最佳實務原則,其中重點強調了補丁管理中的“時機”概念。
讓我們把時間回溯到2014 年 4 月 1 日,也就是Heartbleed (心臟出血)被揭露的那天。此漏洞可讓黑客利用 OpenSSL 鏈接庫當中的 SSL 協議 (handshake),直接從服務器內存中竊取敏感的信息。
在隨后的幾天里,眾多企業用戶開始了各種手忙腳亂的“打補丁”、OpenSSL庫組件重新編譯、弱點掃描,這不可避免的導致了Web服務、內部私有云的核心業務等大量業務陷入停頓。對于這種看似正常的漏洞修補方式,Gartner 專家與亞信安全工程師卻不謀而合的給出了一個違背大多數企業做法的意見,那就是:別修補。沒錯!不要修補運營中的系統!
其實,我們的觀點并不是視而不見,讓服務器一直暴露在危險當中,一旦遇到可能中斷業務的修補程序,用戶就可以采用動態的方式進行部署、盡量降低系統修補造成運營中斷的機率。我們建議用戶建立‘靜態’和‘動態’兩種方法打造新的服務器,以及前期規范的測試、安裝檢測流程和自動化工具。其中的重點在于自動化,因為這樣才能確保您有一套可快速建立及測試新應用程序環境的操作流程。
那么,漏洞該怎么辦?時間正一分一秒流逝……
此時就是Virtual Patching(虛擬補丁)解決方案派上用場的時候,此項技術通過控制受影響應用程序的輸入或輸出,直接切斷數據外泄和系統入侵的路徑。它的好處有兩點:一是,可以在不影響應用程序、相關庫以及為其提供運行環境的操作系統的情況下,為應用程序安裝補丁;二是,如果一個應用程序的早期版本已不再獲得供應商支持(如Windows XP),虛擬補丁幾乎是支持該早期版本的唯一方法。
在云端環境當中,不論遇到多么緊急的情況,都可以先讓虛擬補丁程序來保護生產環境,然后在另外一個測試環境當中同步測試廠商提供的修補程序。實際上,使用亞信安全服務器深度安全防護系統(Deep Security)、防毒墻(OfficeScan)等產品的用戶,已經利用虛擬補丁在多次高危漏洞(如Heartbleed)出現時為自己贏得了大量時間,有效防止了服務器數據泄露事件的發生。
在云計算時代,安全運營模式將徹底改觀,因為云端服務器是可隨時拋棄的,數據才是重點。所以,傳統的勞動密集型IT補丁流程必須得到改善,因為手工修補的方式不能快速地修補漏洞,甚至會導致核心業務宕機,這一缺陷在黑客利用零日(0day)漏洞大規模攻擊時,會變得尤為致命。
注釋:作者蔡昇欽現為亞信安全技術部總經理
京公網安備 11010502049343號