信息安全上升到法律層面 仍任重道遠(yuǎn)

責(zé)任編輯:editor004

2013-10-29 11:17:37

摘自:中國IT實(shí)驗(yàn)室

近幾年,隨著虛擬化概念席卷整個(gè)IT世界,網(wǎng)絡(luò)連接設(shè)備和非網(wǎng)絡(luò)連接設(shè)備之間的區(qū)別已經(jīng)完全改變了。

近幾年,隨著虛擬化概念席卷整個(gè)IT世界,網(wǎng)絡(luò)連接設(shè)備和非網(wǎng)絡(luò)連接設(shè)備之間的區(qū)別已經(jīng)完全改變了。虛擬化促使企業(yè)可以在單一的硬件上運(yùn)行多個(gè)服務(wù)器或客戶端。事實(shí)上,一個(gè)物理上連接網(wǎng)絡(luò)的設(shè)備可以有幾個(gè)不同的IP地址,連接每個(gè)不同的NIC(網(wǎng)絡(luò)接口卡)。通過創(chuàng)建虛擬機(jī)管理程序可以實(shí)現(xiàn)網(wǎng)絡(luò)連接的模糊化,在數(shù)據(jù)存儲、服務(wù)器基礎(chǔ)設(shè)施和計(jì)算機(jī)網(wǎng)絡(luò)安全方面創(chuàng)造了巨大的進(jìn)步。

這些進(jìn)步在一個(gè)被稱為VDI(虛擬桌面基礎(chǔ)架構(gòu))的概念中體現(xiàn)出來,VDI是指一個(gè)像Microsoft Windows這樣的桌面OS(操作系統(tǒng))完全在一個(gè)VM(虛擬機(jī))上運(yùn)行。由于VDI對于系統(tǒng)管理的優(yōu)勢,許多企業(yè)已經(jīng)部署了VDI.從一個(gè)傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中轉(zhuǎn)換過來之前,企業(yè)必須也考慮到VDI的安全風(fēng)險(xiǎn)和好處。

本文我們將看看VDI對于企業(yè)終端安全到底意味著什么,以及如何評估和減輕VDI安全風(fēng)險(xiǎn)。

VDI安全優(yōu)勢

VDI可以實(shí)現(xiàn)在一個(gè)給定的網(wǎng)絡(luò)不同節(jié)點(diǎn)中分散部署虛擬桌面。因此,如果某一特定組織想讓他的用戶在Windows 7的系統(tǒng)上操作,系統(tǒng)管理員只需要簡單的對網(wǎng)絡(luò)每個(gè)節(jié)點(diǎn)分配基線圖像就可以了。

虛擬終端在安全方面提供幾種不同的優(yōu)勢。首先,它允許系統(tǒng)管理員從一個(gè)中心位置控制分配到每個(gè)節(jié)點(diǎn)的基線圖像類型。如果某一特定操作系統(tǒng)被發(fā)現(xiàn)存在嚴(yán)重的安全漏洞,而還沒有提供補(bǔ)丁或升級程序時(shí),系統(tǒng)管理員只需要重啟OS版本,然后給每個(gè)用戶分配一種不一樣的OS版本就可以了。另外,系統(tǒng)管理員還可以分配一個(gè)完全不同的操作系統(tǒng),做到這些完全不需要離開系統(tǒng)管理員的小隔間。將現(xiàn)在的方法和不久之前系統(tǒng)管理員所使用的方法進(jìn)行對比,過去管理員需要檢查每一臺計(jì)算機(jī)并且執(zhí)行完整的操作系統(tǒng)重裝過程。很明顯可以看到,對于減輕終端平臺風(fēng)險(xiǎn)來說,桌面虛擬化可以作為一個(gè)有效的戰(zhàn)術(shù)。

和傳統(tǒng)網(wǎng)絡(luò)相比,VDI還可以實(shí)現(xiàn)更強(qiáng)大的安全性設(shè)置。當(dāng)惡意軟件成功入侵一個(gè)虛擬網(wǎng)絡(luò)時(shí),例如,管理員可以簡單地刪除已檢測到惡意軟件的任意 OS,而不 用擔(dān)心影響到主機(jī)OS.盡管抓住這個(gè)優(yōu)勢很大程度上取決于有效的惡意軟件檢測能力,但是這還是資源節(jié)約和安全性方面的一個(gè)很有意義的優(yōu)勢。

虛擬化并不是一個(gè)"包治百病"的技能

一切都是平等的,如上所述,比起傳統(tǒng)的網(wǎng)絡(luò)終端基礎(chǔ)設(shè)施,VDI能確保一個(gè)更加靈活和適應(yīng)性強(qiáng)的安全態(tài)勢。不過很多時(shí)候,當(dāng)情況可能需要一個(gè)更深層次的警惕意識時(shí),系統(tǒng)管理員還是將虛擬化視為拐杖。明智的系統(tǒng)管理員應(yīng)該意識到一個(gè)事實(shí),未被檢測出來的惡意軟件可以通過一個(gè)基于VDI的網(wǎng)絡(luò)來傳播,就像其可以簡單地通過傳統(tǒng)網(wǎng)絡(luò)一樣。例如,一段可能包括能調(diào)用CPUID指令的惡意軟件代碼。因?yàn)閳?zhí)行CPUID調(diào)用必須來自于非特權(quán)進(jìn)程,函數(shù)調(diào)用返回的信息能表明一個(gè)虛擬機(jī)的存在與否。如果探測到虛擬機(jī)存在,那么這段代碼要么自動(dòng)刪除自身,要么傳播到其它沒有發(fā)現(xiàn)虛擬機(jī)的網(wǎng)絡(luò)連接設(shè)備。對于惡意軟件的攻擊,VDI可以非常彈性地處理,但是它對于其它受感染的網(wǎng)絡(luò)連接設(shè)備也不是完全免疫的。

當(dāng)轉(zhuǎn)換到基于VDI網(wǎng)絡(luò)時(shí),企業(yè)會擔(dān)心潛在的惡意軟件問題,對此,廠商加大力度研究可以解決此類問題的產(chǎn)品。近幾年受歡迎的一個(gè)VDI安全概念被稱為無代理安全。由Trend Micro開發(fā),VMware,McAfee和其它公司采用,這種新概念采取雙管齊下的方法。首先,Trend Micro公司開發(fā)了一種被稱為vShield Endpoint的產(chǎn)品,這種產(chǎn)品可以實(shí)現(xiàn)在獨(dú)立的設(shè)備上卸載傳統(tǒng)的安全功能,來確保在給定網(wǎng)絡(luò)的每一個(gè)虛擬機(jī)上實(shí)現(xiàn)更好的功能。其次,結(jié)合 vShield Endpoint的特征,Trend Micro開發(fā)了Deep Security(深層次安全性)框架,該框架是基本的虛擬化環(huán)境,讓vShileld Endpoint設(shè)備可以和其它虛擬機(jī)進(jìn)行通信。當(dāng)傳統(tǒng)安全機(jī)制在性能,惡意程序檢測及惡意軟件傳播方面似乎不能勝任時(shí),系統(tǒng)管理員會發(fā)現(xiàn)花費(fèi)時(shí)間來研究 廠商所提供的產(chǎn)品,實(shí)施虛擬化部署是值得的。

優(yōu)勢強(qiáng)于劣勢

對于企業(yè)安全性來說,終端虛擬化主要還是一個(gè)好消息。盡管惡意軟件的挑戰(zhàn)仍然存在,基于VDI的網(wǎng)絡(luò)還是給系統(tǒng)管理員提供了一個(gè)機(jī)會,可以更簡單地保護(hù)和管理用戶桌面。只要組織對于VDI采取必要的預(yù)防措施,虛擬化在安全方面可以提供一個(gè)巨大的推動(dòng)作用。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號