在2008年拉斯維加斯的黑帽安全會議上,展示了歷時兩年的安全研究結果,其《虛擬化(安全)啟示錄四騎士》試圖讓觀眾了解虛擬化和安全相交融的過去、現在和未來。
這個報告側重于展示虛擬化計算、存儲和網絡的實際運作是如何從根本上破壞安全性的;其“四騎士”可以歸結為:
整合物理設備功能,將它們重組作為一個整體的虛擬設備,這將會產生低性能的解決方案,無法擴展,且難以管理。如果虛擬安全解決方案沒有正確地整合虛擬平臺的安全功能及其編排系統,那么,性能、靈活性和可擴展性都將受到影響。復雜的、高度可用的虛擬安全應用和網絡拓撲將需要完全不同的架構、技術和運營模式。虛擬化安全可能會引導企業從采購以硬件為中心的產品轉移到更受軟件驅動的產品,同時,運營變化將需要徹底改革,但企業往往不太管理這些軟成本。
盡管虛擬化是為了提供更好的安全性,但虛擬化平臺供應商普遍缺乏IT安全知識,這可能會打擊早期的部署熱情。這些供應商沒有完全掌握運營模式,也無法解決網絡專家、安全從業人員和供應商30多年的部署所構建的孤島運作障礙。同時,安全從業人員幾乎沒有虛擬化的經驗。
為什么早期努力不夠
在筆者進行研究時,只有極少數傳統安全廠商已經開始生產其物理設備的虛擬版本。這些早期解決方案并沒有被很好地融入到虛擬化平臺的“編排”工作流程或者網絡數據路徑,它們也不是“虛擬化感知的”。大多數解決方案幾乎不了解環境或者工作負載,它們只是被部署來提供保護。
同樣的問題也困擾著圍繞這些虛擬化部署的傳統物理安全,不過我們可以人為地通過外圍“咽喉要道”和架構傳輸流量來解決這個問題,通常將虛擬化環境的流量轉向到物理設備,然后傳回來。雖然這種方法屬于“集裝箱式”且是隔離的,但這種方法使得部署和保護應用編程低效甚至無效。
大部分新奇的虛擬安全解決方案都試圖復制非虛擬化環境的部署和運作架構,而缺少創造、部署或破壞虛擬網絡和工作負載的靈活性和速度。這些解決方案還缺乏可視性,并且沒有考慮這些虛擬網絡的不成熟性,這可能導致安全控制很盲目。
讓這個問題進一步復雜化的是,供應商沒能認識到安全和合規團隊曾經用來監控、測試和緩解威脅的設備和程序。安全供應商的假設是,安全團隊能夠理解這些解決方案,并將它們整合到流程。然而,操作孤島和缺乏虛擬化技巧讓這不太可能實現,但也不是完全不可能。工作負載的短暫性和完全移動性,再加上構成安全和信任的外圍模型的熟悉的物理架構開始擴展,這意味著需要新模型的出現。
很多初創公司開始推出專用的虛擬化感知解決方案,并在虛擬結構中,重新構建安全討論和圍繞安全的運營模式。但是,很多這種努力很快“擱淺”,主要是由于平 臺供應商試圖在本地提供安全功能,但是集成接觸點很糟糕。在虛擬環境中,以前負責安全的人不再控制安全政策的制定、部署和執行。
京公網安備 11010502049343號