企業須知:虛擬機隔離技術
虛擬機隔離技術是一項很好的策略,能夠有效防止病毒蔓延到整個云環境。關于隔離技術,Ed Moyle介紹了企業需要了解哪些方面。
Joseph Lister是現代外科之父,他防腐手術方法方面做出的開創性貢獻,使他為人們所熟知。自1865年開始,Lister開始將苯酚和石炭酸實踐應用到傷口、器械以及外科醫生的穿戴上。
關于Lister的故事,其中有趣的一件是:醫療機構還沒準備好接受Lister的技術要求的更改。例如,當時的手術器械通常包含多孔材料,如木材,它可能會誘發疾病;還有服裝,包括手套,在手術操作中經常重復使用。雖然Lister的方法是開創性的,對病人能夠直接產生更好的效果,但現實卻相當無情;要想獲得最好的效果,這要需要進行詳細的調查、改造以及重新定位文化。
在現在的安全世界,Lister的方法可以類比為虛擬機(VM)隔離技術——利用分割和沙盒來控制云風險。舉個例子,在2016年黑帽會議主題演講中,White Ops的聯合創始人Dan Kaminsky概述了microsandboxing技術,稱為Autoclave,它的目的在于限制應用程序,與運行在外部的系統和系統組件之間相互感染。該技術的要點是創建一個隔離的、受控的環境,在其中可以執行關鍵的、與安全相關的任務。
此外,利用了容器化平臺,如Docker或者Rocket的虛擬機隔離策略,除了運營方面的好處外,它更常用于云安全目的。由于容器化技術可以最大限度地減少手動配置更改(包括一次性更改),因此可以使用容器來最小化更改。它還可以當作一個策略來合理化補丁,并在運行的應用中引入額外的分段。
最后,軟件定義外圍(SDP)和微分段技術已成為備選方案,幫助在云環境中引入虛擬機隔離。SDP能夠創建“black cloud,”這是一個虛擬的外圍網絡,可以擴展到云環境中,如基礎設施即服務。這使得組織內部的網絡能夠擴展到云環境中。
網絡層的微分段技術使組織能夠將安全策略分配特定的工作負載,并且,該策略能夠在生態系統中的任何地方執行—包括連通性,同時,安全經理能夠管理安全工具的運作,如入侵檢測系統或者惡意軟件和漏洞掃描。
對企業來說,虛擬機隔離是可行的
這些虛擬機隔離方法,在任何方式下都不是等效的;他們在范圍和實現上都是不同的。也就是說,這些虛擬機隔離方法有一些共同之處:首先,這些虛擬機隔離方法都有助于減輕出現在云環境中的某類威脅。其次,同樣的,Lister的方法需要收集數據,這些虛擬機隔離方法也一樣。也就是說,并不是簡單的從一個傳統的、非孤立的方法遷移到這些虛擬機隔離模型。Kaminsky指出,目前,沒有一個主要供應商支持Autoclave。
多年來,我們看到SDP的采用是緩慢且有限的;而且相比于安全目的,企業更看重部署和數據中心,所以就會經常部署容器技術。因此,對于那些想要利用虛擬機隔離技術作為安全措施的組織來說,這是否是真正的架構選項?當然是。但前提是,如果組織已經做好了準備,并且已經提前做了相關的調查。
考慮到這一點,如果想要探索這些方法是否正確,組織應該做些什么?想要采用這些策略的組織需要什么?
首先,也是最重要的,組織采用這一策略時,要識別出所有虛擬機隔離策略的復雜性。例如,你可知道你的強項在哪、系統組件和應用是做什么的,以及他們之間如何交互的。無論你是選擇了虛擬機隔離還是分段技術,這都是事實。例如,組織如果不了解這些組件是如何共同工作的,就不能隨機隔離多層應用組件,更不能奢望應用有效地運行。
重要的是,組織要理解所涉及的應用程序—它們是如何溝通的、它們的規范操作以及你想要隔離的關鍵部分是什么。如果目前這些你都不了解,或者如果你的理解有很大差距,那么,在走這條路之前,這是一個補救的辦法。
同樣,實現虛擬機隔離策略,意味著組織已經了解了想要將隔離技術擴展到工作負載、應用和系統的風險狀況以及前景。可能還會產生額外的(與隔離相關的)復雜性,你在處理非敏感的應用或系統時,所面臨的風險比較少。也就是說,如果沒有充分理解這些應用可能會受到的風險及威脅,那么,就很難決定需要隔離什么。
最后,重要的是長期致力于虛擬機的隔離。記住,環境并不是靜態的,環境經常改變來應對新的使用模式,改變和更新的發生可能取決于如何使用、業務需求、架構變化和許多其他原因。在創建虛擬機隔離模型上花費時間和精力,只會將虛擬機隔離模型引導到一個未知的、不受控制的狀態。
