作者:趨勢科技雲端安全副總裁Dave Asprey
幾個月前,我寫了一篇關於虛擬化桌面架構(VDI)如何越過推動臨界點的文章,都要歸功於寬頻的普及和新雲端技術突破性的發展,所以讓性能可以有顯著的進步。工作場所裡大量的使用平板電腦和智慧型手機也助長了這火勢。尤其是我提到了虛擬化桌面架構可以解決自帶設備的問題。VMware在舊金山舉行的VMworld大會中就包含了這些解決方案,也是VMware行動安全桌面提議(Mobile Secure Desktop initiative)的一部分。
現在,趨勢科技將再次在巴塞隆納加入VMware,我們看到一樣的虛擬化桌面架構解決方案被應用到其他地方:遠端和地區辦公室。像是零售業、銀行和醫療保健等行業,他們的業務模式在很大程度上依賴於遠端辦公室,需要有可靠、安全和最佳化的方式來存取系統和應用程式。
在其中一個討論虛擬化桌面架構技術的會議中,VMware的資深架構工程師談到無代理安全的價值,和傳統防毒會浪費掉30%的資源比起來,無代理防毒技術可以讓使用者用到99%的資源 – 避免安全風暴、提供更高密度、最佳化資源和更強的安全性。
作者:趨勢科技雲端安全副總裁Dave Asprey
這裡是精心整理過的雲端(或非雲端)公司最常見也最令人厭惡的行銷錯誤。
1)雲端洗腦 – 將所有雲端的東西講在一塊。
你指的是PaaS、SaaS、IaaS還是私有雲…或者只是在說虛擬化?你家小孩買魚的水族館線上購物網頁也算是「雲端水族館管理」嗎,應該不是吧。
2)忘記企業也有雲端技術。
跟著我說一次:公共雲並不是唯一的雲端技術。私有雲是真實存在的。
3 )認為雲端並不安全。
呃,你是在說哪種雲端技術?自己管理的私有雲?Gmail?你知道自己真正需要的安全性等級?還是可用性對你來說比較重要,而你擔心安全問題會導致服務中斷?具體一點。而且如果你做得好,大多數雲端技術都可以很安全。
4)認為雲端技術就是高可用性。
現在的雲端技術行銷人員忘了數數字。就是去數9等級。雲端技術平均只有三個9(99.9%的可用性)。有良好架構的傳統企業基礎設施可以達到五個9(99.999%)。雖然我們使用雲端技術,但請記住:雲端技術並不是一個災難回復(DR)策略。 繼續閱讀
作者:趨勢科技Christine Drake
嗯,這要看狀況。讓我先退一步來簡單說明一下無代理防護,作為這談話的背景資料。
在虛擬環境裡,許多公司都安裝了傳統基於代理(Agent-based)的實體端點防護到每台虛擬機器(VM)上。但是安裝完整的解決方案到每一台虛擬機器上會吃光系統資源並降低效能。另一種方法是將安全性整合到虛擬化平台。在每部主機上提供一個專用的安全虛擬設備,可以利用虛擬化平台的API和虛擬機器管理程式的內部互動來保護每台虛擬機器,而不需要在每個客戶端虛擬機器上安裝程式來作為保護。虛擬設備會確保每台虛擬機器都更新到最新防護而不會影響到任一虛擬機器的資源。這設備還會排序安全掃描和更新的時間來維護性能。
經由VMware vShield Endpoint和資安夥伴解決方案所整合的第一個無代理(Agentless)虛擬化安全防護是防毒功能。現在有越來越多安全廠商都提供無代理的防毒軟體。但無代理的作法還可以應用在更廣泛的檔案安全上,包括對檔案和虛擬機器管理程式的完整性監控,以及網路安全上,像是入侵防禦和防火牆等。
經由VMware的整合,無代理安全防護當然也適用於虛擬資料中心。但它可以被部署在雲端嗎?比方說,在vCloud環境?如果你有自己雲端環境VMware平台底層的虛擬機器管理程式的控制權,那麼答案是肯定的。比方說,佈署到你資料中心的私有雲,你可以控制底層的基礎架構,就可以部署無代理安全防護好帶來安全性和效能優勢。
但是公共雲就不同了。在多數情況下,服務供應商會控制底層的基礎架構,你不會有專用主機資源給你的雲端環境部署。在這情況下,你需要安裝基於代理的安全防護,來保護你在這種多租戶環境下的虛擬機器。不過,服務提供商也可以提供無代理安全防護作為服務的附加選項,讓你可以管理自己虛擬機器的無代理安全防護。
理想的虛擬化和雲端安全解決方案需要提供無代理和基於代理的部署選項。隨著公司向雲端邁進,大部分都會部署混合雲,包含了私有雲和公共雲的元件。安全解決方案必須要可以靈活地佈署無代理安全防護到私有雲,還有基於代理的安全防護到公共雲,而且可以統一管理,整合協調這兩種環境上的安全策略。不管你在哪裡佈署雲端環境,你會希望安全解決方案可以很容易地跟上雲端運算所需的發展和變化。
作者:趨勢科技雲端安全副總裁Dave Asprey
首先是VMware收購Nicira,接著Oracle收購Xsigo,最近幾個禮拜真是風起雲湧。這些重大的收購案將會完全打亂網路和資安產業原有的秩序,只是時間問題而已。
網路虛擬化已經開始八年了,不過一直都還是在地下的階段,除非你在特定的少數公司內,不然很容易就會遺漏掉它。一直到最近幾年,網路虛擬化、OpenFlow和軟體定義網路(SDN)才算是比較興起。
我曾經待過開始參與這幾間公司內。以下是為何我覺得這兩筆交易對雲端運算和網路的未來很重要的原因。這並非來自我的空想,我曾經是第一家網路虛擬設備公司的技術和行銷副總裁(Zeus Technologies,現在被Riverbed所併購)。我在Citrix的虛擬化業務部門進行策略規劃,就在他們併購NetScaler之後(這家網路公司已經成為Citrix雲端網路加速產品的骨幹)。我也曾經參與過兩家網路虛擬化的早期廠商 – Vyatta和3Leaf(Xsigo的前競爭對手之一)。而我關於雲端網路的書戶會在六個月左右推出。
在六月中旬,VMware技術長Steve·Herrod(我在去年RSA的雲端安全聯盟大會上介紹他上台),告訴CIO Journal軟體定義網路代表「想要虛擬化資料中心所需要的巨大改變,可以減少需要分別管理的的設備。」這代表不再需要更多Juniper和Cisco的路由器和交換器了,而是各種直接在雲端資料中心內運作的設備。
事實上,我曾在2007年的馬爾他NetEvents大會上說過類似的話:
|
我對未來資料中心的願景非常非常的龐大,將不再會有交換器,而是許多的虛擬設備。這一定會發生,因為變動虛擬設備要比變動交換器內建硬體要來得快的多。當你想要升級虛擬設備,就只是另一次的設備定期更新而已,你就有一套完整的內建網路安全功能了。 |
我真的非常高興VMware會快速地做出這項投資。Nicira交易看起來會讓軟體定義網路的世界由VMware作主,直到一分鐘後出現了Oracle/ Xsigo的新聞。
Nicira交易的影響
首先,幾個VMware收購事件必須注意的關鍵:
虛擬化環境裡的安全漏洞對企業來說也是很大的威脅,可能會造成業務中斷、資料被竊或是財務損失等後果。網路犯罪分子可以利用網頁伺服器或網頁應用程式的漏洞來進入本被隔離的部分公司伺服器。進而利用來存取公司的重要資產,像是客戶資料庫或是商業機密。而所偷來的資料可以在地下黑市出售,或是用來發動更進一步的攻擊。
然而,儘管公司資料有著明顯的風險,而且資料被入侵外洩後也得付出不少代價,但是系統管理員卻還是喜歡或是被迫地讓伺服器不去更新修補程式。系統管理員有時會延遲修補更新程式的佈署計畫,原因是要讓更新生效需要重新啟動系統,這對需要全天無時無刻正常運作的系統來說,可能意味著會有重大的商業損失。而且軟體廠商可能也要花上一段時間(幾天到數週不等,甚至數年)來開發修補程式給已知的漏洞,這也讓管理員沒有選擇。就在最近,微軟公開關於Microsoft XML核心服務漏洞的零時差攻擊。一旦攻擊成功,它就可以透過針對瀏覽器的網頁攻擊來控制受感染的系統,而在公佈時還沒有修補程式可用。僅在2011年,就有1822個關鍵的軟體弱點被公布,讓使用的公司都有可能陷於危險中。因此,管理員做出困難決定時,也可能讓自己的網路暴露於威脅中,或讓公司的資料陷入危險。
資料圖表 – 「安全防護虛擬環境所面臨的挑戰」將虛擬化相關問題具體的表達出來,介紹了對企業網路的相關威脅,像是舊系統漏洞、概念證明(Proof-of-concept)和零時差攻擊等威脅。一旦企業遺漏掉這些安全漏洞,就有可能會損害到品牌形象,或是更糟地讓公司失去重要的資產。
放眼未來:
防護虛擬環境的挑戰
企業可能暴露在這些安全漏洞的威脅,而讓虛擬化環境被入侵。落入這些威脅的深淵可能會讓他們的業務中斷,更糟的可能會導致資料外洩或財務上的損失。
虛擬主機間(Inter-VM)攻擊和其他淪陷方式
運行相同作業系統和應用程式的虛擬伺服器就跟實體伺服器一樣。所以像是惡意軟體和漏洞攻擊這些會影響實體環境的威脅,一樣會影響虛擬化環境。