人們對“安全補丁”并不陌生,也大都有過給自己的電腦操作系統(tǒng)和各種軟件打補丁的經(jīng)歷,但對于采用虛擬化與云計算的企業(yè)用戶而言,補丁管理卻不是一件易事。前不久,Gartner發(fā)布一份研究報告,內(nèi)容重點是如何保障 Amazon Web Services 云端安全的最佳實務(wù)原則,其中重點強調(diào)了補丁管理中的“時機”概念。
讓我們把時間回溯到2014 年 4 月 1 日,也就是 Heartbleed (心臟出血)被揭露的那天。此漏洞可讓黑客利用 OpenSSL 鏈接庫當中的 SSL 協(xié)議 (handshake),直接從服務(wù)器內(nèi)存中竊取敏感的信息。
在隨后的幾天里,眾多企業(yè)用戶開始了各種手忙腳亂的“打補丁”、OpenSSL庫組件重新編譯、弱點掃描,這不可避免的導致了Web服務(wù)、內(nèi)部私有云的核心業(yè)務(wù)等大量業(yè)務(wù)陷入停頓。對于這種看似正常的漏洞修補方式,Gartner 專家與亞信安全工程師卻不謀而合的給出了一個違背大多數(shù)企業(yè)做法的意見,那就是:別修補。沒錯!不要修補運營中的系統(tǒng)!
其實,我們的觀點并不是視而不見,讓服務(wù)器一直暴露在危險當中,一旦遇到可能中斷業(yè)務(wù)的修補程序,用戶就可以采用動態(tài)的方式進行部署、盡量降低系統(tǒng)修補造成運營中斷的機率。我們建議用戶建立‘靜態(tài)’和‘動態(tài)’兩種方法打造新的服務(wù)器,以及前期規(guī)范的測試、安裝檢測流程和自動化工具。其中的重點在于自動化,因為這樣才能確保您有一套可快速建立及測試新應(yīng)用程序環(huán)境的操作流程。
那么,漏洞該怎么辦?時間正一分一秒流逝……
此時就是Virtual Patching(虛擬補丁)解決方案派上用場的時候,此項技術(shù)通過控制受影響應(yīng)用程序的輸入或輸出,直接切斷數(shù)據(jù)外泄和系統(tǒng)入侵的路徑。它的好處有兩點:一是,可以在不影響應(yīng)用程序、相關(guān)庫以及為其提供運行環(huán)境的操作系統(tǒng)的情況下,為應(yīng)用程序安裝補?。欢?,如果一個應(yīng)用程序的早期版本已不再獲得供應(yīng)商支持(如Windows XP),虛擬補丁幾乎是支持該早期版本的唯一方法。
在云端環(huán)境當中,不論遇到多么緊急的情況,都可以先讓虛擬補丁程序來保護生產(chǎn)環(huán)境,然后在另外一個測試環(huán)境當中同步測試廠商提供的修補程序。實際上,使用亞信安全服務(wù)器深度安全防護系統(tǒng)(Deep Security)、防毒墻(OfficeScan)等產(chǎn)品的用戶,已經(jīng)利用虛擬補丁在多次高危漏洞(如Heartbleed)出現(xiàn)時為自己贏得了大量時間,有效防止了服務(wù)器數(shù)據(jù)泄露事件的發(fā)生。
在云計算時代,安全運營模式將徹底改觀,因為云端服務(wù)器是可隨時拋棄的,數(shù)據(jù)才是重點。所以,傳統(tǒng)的勞動密集型IT補丁流程必須得到改善,因為手工修補的方式不能快速地修補漏洞,甚至會導致核心業(yè)務(wù)宕機,這一缺陷在黑客利用零日(0day)漏洞大規(guī)模攻擊時,會變得尤為致命。