毫不奇怪,網(wǎng)絡(luò)安全是首席信息官最關(guān)心的問(wèn)題。調(diào)研機(jī)構(gòu)Gartner公司預(yù)計(jì),全球從2017年用于網(wǎng)絡(luò)安全的費(fèi)用900億美元將增至2022年的1萬(wàn)億美元。與此同時(shí),美國(guó)經(jīng)濟(jì)顧問(wèn)委員會(huì)的報(bào)告稱,惡意攻擊對(duì)全球經(jīng)濟(jì)造成的損失可能高達(dá)每年1090億美元,而IBM公司估計(jì),每次攻擊造成的平均損失為386萬(wàn)美元。
由于存在如此多的風(fēng)險(xiǎn),沒(méi)有哪一個(gè)政府組織能夠承受基礎(chǔ)設(shè)施的脆弱性。然而,在預(yù)算和資源緊張的背景下,打擊網(wǎng)絡(luò)威脅是政府機(jī)構(gòu)工作人員面臨的一個(gè)嚴(yán)峻挑戰(zhàn)。
數(shù)據(jù)中心的復(fù)雜性增加了網(wǎng)絡(luò)安全的挑戰(zhàn)
政府機(jī)構(gòu)面臨的管理挑戰(zhàn)之一是,數(shù)據(jù)中心環(huán)境在過(guò)去十年中變得越來(lái)越復(fù)雜。工作負(fù)載在本地、公共云和私有云中以及邊緣計(jì)算運(yùn)行。這種多樣性帶來(lái)了更大的安全風(fēng)險(xiǎn)。
可以理解,許多首席信息官都在關(guān)注將關(guān)鍵工作負(fù)載放在何處,并希望跨環(huán)境實(shí)現(xiàn)端到端的安全性。但現(xiàn)實(shí)情況是,數(shù)據(jù)中心堆棧的每一層都存在安全風(fēng)險(xiǎn)。黑客們已經(jīng)意識(shí)到了這一點(diǎn),并且已經(jīng)瞄準(zhǔn)了應(yīng)用層,現(xiàn)在正在進(jìn)一步升級(jí)對(duì)管理程序、引導(dǎo)驅(qū)動(dòng)程序、固件甚至硬件的攻擊。
雖然政府機(jī)構(gòu)一直致力于降低個(gè)人計(jì)算機(jī)的安全風(fēng)險(xiǎn),但他們開(kāi)始意識(shí)到需要將注意力轉(zhuǎn)移到基礎(chǔ)設(shè)施上。傳統(tǒng)的數(shù)據(jù)中心保護(hù)措施(如檢測(cè)和隔離軟件)或周邊控制(如防火墻)已經(jīng)不夠用了。而當(dāng)發(fā)現(xiàn)問(wèn)題時(shí),很可能已經(jīng)造成了損壞。
健全的安全性始于基礎(chǔ)設(shè)施的根源
為了保護(hù)空閑、傳輸和使用中的數(shù)據(jù),IT管理員必須從處理器基礎(chǔ)開(kāi)始,全面了解組織的風(fēng)險(xiǎn)并建立控制。安全性必須在開(kāi)始時(shí)設(shè)計(jì)到數(shù)據(jù)中心架構(gòu)中,而不是通過(guò)隨機(jī)產(chǎn)品進(jìn)行臨時(shí)解決。
在應(yīng)用程序?qū)影l(fā)生的數(shù)據(jù)中心攻擊很容易識(shí)別,但真正的威脅更嚴(yán)重,攻擊更難檢測(cè)和補(bǔ)救。這是因?yàn)閭鹘y(tǒng)的檢測(cè)解決方案不太擅長(zhǎng)識(shí)別惡意軟件滲透到硬件組件的基礎(chǔ)上,而且有些組件會(huì)使堆棧暴露在額外的漏洞中。例如,管理程序的設(shè)計(jì)就是為了優(yōu)化虛擬機(jī)內(nèi)存空間和內(nèi)核。然而,這種資源共享打開(kāi)了管理程序和堆棧,以增加攻擊風(fēng)險(xiǎn)。
建立信任鏈
信任鏈?zhǔn)菑牡谝粋€(gè)引導(dǎo)過(guò)程建立強(qiáng)化安全性的關(guān)鍵,它始于可信平臺(tái)模塊。TPM存儲(chǔ)在機(jī)器的芯片中而不是軟件中,存儲(chǔ)專門(mén)與設(shè)備本身相關(guān)的加密密鑰。建立信任根意味著應(yīng)對(duì)堆棧中的每個(gè)層(引導(dǎo)、虛擬化、庫(kù)、服務(wù)和應(yīng)用程序)進(jìn)行檢查,從而證明堆棧的每一層的有效性。
到目前為止,由于性能、復(fù)雜性和成本因素,以這種方式保護(hù)基礎(chǔ)設(shè)施和應(yīng)用程序堆棧并不容易實(shí)現(xiàn)。然而,現(xiàn)在存在這樣的技術(shù)和信念。
京公網(wǎng)安備 11010502049343號(hào)