虛擬機(jī)隔離技術(shù)是一項(xiàng)很好的策略,能夠有效防止病毒蔓延到整個(gè)云環(huán)境。關(guān)于隔離技術(shù),Ed Moyle介紹了企業(yè)需要了解哪些方面。
Joseph Lister是現(xiàn)代外科之父,他防腐手術(shù)方法方面做出的開創(chuàng)性貢獻(xiàn),使他為人們所熟知。自1865年開始,Lister開始將苯酚和石炭酸實(shí)踐應(yīng)用到傷口、器械以及外科醫(yī)生的穿戴上。
關(guān)于Lister的故事,其中有趣的一件是:醫(yī)療機(jī)構(gòu)還沒準(zhǔn)備好接受Lister的技術(shù)要求的更改。例如,當(dāng)時(shí)的手術(shù)器械通常包含多孔材料,如木材,它可能會誘發(fā)疾?。贿€有服裝,包括手套,在手術(shù)操作中經(jīng)常重復(fù)使用。雖然Lister的方法是開創(chuàng)性的,對病人能夠直接產(chǎn)生更好的效果,但現(xiàn)實(shí)卻相當(dāng)無情;要想獲得最好的效果,這要需要進(jìn)行詳細(xì)的調(diào)查、改造以及重新定位文化。
在現(xiàn)在的安全世界,Lister的方法可以類比為虛擬機(jī)(VM)隔離技術(shù)——利用分割和沙盒來控制云風(fēng)險(xiǎn)。舉個(gè)例子,在2016年黑帽會議主題演講中,White Ops的聯(lián)合創(chuàng)始人Dan Kaminsky概述了microsandboxing技術(shù),稱為Autoclave,它的目的在于限制應(yīng)用程序,與運(yùn)行在外部的系統(tǒng)和系統(tǒng)組件之間相互感染。該技術(shù)的要點(diǎn)是創(chuàng)建一個(gè)隔離的、受控的環(huán)境,在其中可以執(zhí)行關(guān)鍵的、與安全相關(guān)的任務(wù)。
此外,利用了容器化平臺,如Docker或者Rocket的虛擬機(jī)隔離策略,除了運(yùn)營方面的好處外,它更常用于云安全目的。由于容器化技術(shù)可以最大限度地減少手動配置更改(包括一次性更改),因此可以使用容器來最小化更改。它還可以當(dāng)作一個(gè)策略來合理化補(bǔ)丁,并在運(yùn)行的應(yīng)用中引入額外的分段。
最后,軟件定義外圍(SDP)和微分段技術(shù)已成為備選方案,幫助在云環(huán)境中引入虛擬機(jī)隔離。SDP能夠創(chuàng)建“black cloud,”這是一個(gè)虛擬的外圍網(wǎng)絡(luò),可以擴(kuò)展到云環(huán)境中,如基礎(chǔ)設(shè)施即服務(wù)。這使得組織內(nèi)部的網(wǎng)絡(luò)能夠擴(kuò)展到云環(huán)境中。
網(wǎng)絡(luò)層的微分段技術(shù)使組織能夠?qū)踩呗苑峙涮囟ǖ墓ぷ髫?fù)載,并且,該策略能夠在生態(tài)系統(tǒng)中的任何地方執(zhí)行—包括連通性,同時(shí),安全經(jīng)理能夠管理安全工具的運(yùn)作,如入侵檢測系統(tǒng)或者惡意軟件和漏洞掃描。
對企業(yè)來說,虛擬機(jī)隔離是可行的
這些虛擬機(jī)隔離方法,在任何方式下都不是等效的;他們在范圍和實(shí)現(xiàn)上都是不同的。也就是說,這些虛擬機(jī)隔離方法有一些共同之處:首先,這些虛擬機(jī)隔離方法都有助于減輕出現(xiàn)在云環(huán)境中的某類威脅。其次,同樣的,Lister的方法需要收集數(shù)據(jù),這些虛擬機(jī)隔離方法也一樣。也就是說,并不是簡單的從一個(gè)傳統(tǒng)的、非孤立的方法遷移到這些虛擬機(jī)隔離模型。Kaminsky指出,目前,沒有一個(gè)主要供應(yīng)商支持Autoclave。
多年來,我們看到SDP的采用是緩慢且有限的;而且相比于安全目的,企業(yè)更看重部署和數(shù)據(jù)中心,所以就會經(jīng)常部署容器技術(shù)。因此,對于那些想要利用虛擬機(jī)隔離技術(shù)作為安全措施的組織來說,這是否是真正的架構(gòu)選項(xiàng)?當(dāng)然是。但前提是,如果組織已經(jīng)做好了準(zhǔn)備,并且已經(jīng)提前做了相關(guān)的調(diào)查。
考慮到這一點(diǎn),如果想要探索這些方法是否正確,組織應(yīng)該做些什么?想要采用這些策略的組織需要什么?
首先,也是最重要的,組織采用這一策略時(shí),要識別出所有虛擬機(jī)隔離策略的復(fù)雜性。例如,你可知道你的強(qiáng)項(xiàng)在哪、系統(tǒng)組件和應(yīng)用是做什么的,以及他們之間如何交互的。無論你是選擇了虛擬機(jī)隔離還是分段技術(shù),這都是事實(shí)。例如,組織如果不了解這些組件是如何共同工作的,就不能隨機(jī)隔離多層應(yīng)用組件,更不能奢望應(yīng)用有效地運(yùn)行。
重要的是,組織要理解所涉及的應(yīng)用程序—它們是如何溝通的、它們的規(guī)范操作以及你想要隔離的關(guān)鍵部分是什么。如果目前這些你都不了解,或者如果你的理解有很大差距,那么,在走這條路之前,這是一個(gè)補(bǔ)救的辦法。
同樣,實(shí)現(xiàn)虛擬機(jī)隔離策略,意味著組織已經(jīng)了解了想要將隔離技術(shù)擴(kuò)展到工作負(fù)載、應(yīng)用和系統(tǒng)的風(fēng)險(xiǎn)狀況以及前景??赡苓€會產(chǎn)生額外的(與隔離相關(guān)的)復(fù)雜性,你在處理非敏感的應(yīng)用或系統(tǒng)時(shí),所面臨的風(fēng)險(xiǎn)比較少。也就是說,如果沒有充分理解這些應(yīng)用可能會受到的風(fēng)險(xiǎn)及威脅,那么,就很難決定需要隔離什么。
最后,重要的是長期致力于虛擬機(jī)的隔離。記住,環(huán)境并不是靜態(tài)的,環(huán)境經(jīng)常改變來應(yīng)對新的使用模式,改變和更新的發(fā)生可能取決于如何使用、業(yè)務(wù)需求、架構(gòu)變化和許多其他原因。在創(chuàng)建虛擬機(jī)隔離模型上花費(fèi)時(shí)間和精力,只會將虛擬機(jī)隔離模型引導(dǎo)到一個(gè)未知的、不受控制的狀態(tài)。