你的雲端之旅:保護現代化的資料中心

Cloud2

今天跟任何IT主管聊天,他們都會告訴你他們正在旅程中:從實體環境到虛擬化和雲端環境的旅程。因為沒有兩個IT環境完全相同,所以他們都在這旅程中的不同階段,但統計數字說明了一切。幾年前,Gartner預測,到了2015年,有四分之三的x86伺服器工作負載會虛擬化,這2011年的同一份報告還預測虛擬機(VM)的數量會以 38% 的年均複合增長率在2010到2015年間成長五倍。

這對大多數IT管理者來說是再清楚也不過,在削減硬體成本和用更有效、更環保及更靈活的方式來運行系統的壓力下。世界各地的組織都在虛擬化實體伺服器,來享受公共雲和私有雲的威力以及所帶來的靈活性,可擴展性和易於管理的能力。然而,當虛擬化和雲端運算簡化了一方面,它也在另一方面帶來複雜性。組織最終會在他們的現代化資料中心運行實體、虛擬和雲端的混合環境。

強行將傳統的實體機器安全帶入這複雜的混合環境將無法正常運作。採用新的方法是必要的。

勇敢新世界

虛擬環境呈現出全新的安全風險,網路犯罪分子已經被證明更加能夠利用這些新的安全漏洞。

虛擬機的本質是動態。IT主管們可以隨時根據需求來配置或取消配置,在任何需要的時候提供及時的運算資源,不管要用多久都可以。很難像傳統的IT環境一樣去持續地保持這些虛擬機更新到最新的安全修補程式。這可能代表當虛擬機休眠一段時間之後,一啟動就帶來了嚴重的安全漏洞。這些被稱為「即時啟動差距(instant-on gaps)。」

動態虛擬環境的另一個副產品是,不同信任等級的虛擬機最終常常被放在一起,帶來了VM間攻擊的風險。這在多租戶公共雲環境中尤其是這樣,在那裡,企業往往很少或根本沒有辦法決定他們的虛擬機器會跟誰一起分享基礎設施。傳統硬體型的IDS/IPS解決方案無法監控VM間的流量,可能讓組織暴露在這種攻擊下。

虛擬環境的最後一個主要問題跟資源競爭和效能有關。虛擬機的密度有時會發展到幾百台,所以如果使用傳統的安全產品時,防毒掃描或其他計劃性更新會發生在每一台機器上。由此產生的「風暴」會嚴重影響性能,同時也破壞了安全性和法規遵從工作。

現代化的解決方案

答案是投資現代化的資料中心安全性。也就是說,安全工具和產品在設計時已經考慮到虛擬和雲端環境。尋找無代理程式架構,意味著將資源密集型任務交給了虛擬設備,對抗安全「風暴」所帶來的風險。由於有虛擬修補功能,現代化的資料中心解決方案也將確保每個虛擬機都配置在完全安全的狀態,解決即時啟動差距問題。最後,找到廠商可以保證你的每一個虛擬機都防護在安全的網路內,無論身在何處 –當它們從一個虛擬機管理程式移動到另一個或到外面的公共雲時防止虛擬機間的攻擊。  繼續閱讀

《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構

作者:趨勢科技雲端安全副總裁Dave Asprey

幾個月前,我寫了一篇關於虛擬化桌面架構(VDI)如何越過推動臨界點的文章,都要歸功於寬頻的普及和新雲端技術突破性的發展,所以讓性能可以有顯著的進步。工作場所裡大量的使用平板電腦和智慧型手機也助長了這火勢。尤其是我提到了虛擬化桌面架構可以解決自帶設備的問題。VMware在舊金山舉行的VMworld大會中就包含了這些解決方案,也是VMware行動安全桌面提議(Mobile Secure Desktop initiative)的一部分。

 

現在,趨勢科技將再次在巴塞隆納加入VMware,我們看到一樣的虛擬化桌面架構解決方案被應用到其他地方:遠端和地區辦公室。像是零售業、銀行和醫療保健等行業,他們的業務模式在很大程度上依賴於遠端辦公室,需要有可靠、安全和最佳化的方式來存取系統和應用程式。

 

在其中一個討論虛擬化桌面架構技術的會議中,VMware的資深架構工程師談到無代理安全的價值,和傳統防毒會浪費掉30%的資源比起來,無代理防毒技術可以讓使用者用到99%的資源 – 避免安全風暴、提供更高密度、最佳化資源和更強的安全性。

繼續閱讀

虛擬化的無代理防護也適用於雲端嗎?

作者:趨勢科技Christine Drake

 

嗯,這要看狀況。讓我先退一步來簡單說明一下無代理防護,作為這談話的背景資料。

 在虛擬環境裡,許多公司都安裝了傳統基於代理(Agent-based)的實體端點防護到每台虛擬機器(VM)上。但是安裝完整的解決方案到每一台虛擬機器上會吃光系統資源並降低效能。另一種方法是將安全性整合到虛擬化平台。在每部主機上提供一個專用的安全虛擬設備,可以利用虛擬化平台的API和虛擬機器管理程式的內部互動來保護每台虛擬機器,而不需要在每個客戶端虛擬機器上安裝程式來作為保護。虛擬設備會確保每台虛擬機器都更新到最新防護而不會影響到任一虛擬機器的資源。這設備還會排序安全掃描和更新的時間來維護性能。

 

經由VMware vShield Endpoint和資安夥伴解決方案所整合的第一個無代理(Agentless)虛擬化安全防護是防毒功能。現在有越來越多安全廠商都提供無代理的防毒軟體。但無代理的作法還可以應用在更廣泛的檔案安全上,包括對檔案和虛擬機器管理程式的完整性監控,以及網路安全上,像是入侵防禦和防火牆等。

 

經由VMware的整合,無代理安全防護當然也適用於虛擬資料中心。但它可以被部署在雲端嗎?比方說,在vCloud環境?如果你有自己雲端環境VMware平台底層的虛擬機器管理程式的控制權,那麼答案是肯定的。比方說,佈署到你資料中心的私有雲,你可以控制底層的基礎架構,就可以部署無代理安全防護好帶來安全性和效能優勢。

 

但是公共雲就不同了。在多數情況下,服務供應商會控制底層的基礎架構,你不會有專用主機資源給你的雲端環境部署。在這情況下,你需要安裝基於代理的安全防護,來保護你在這種多租戶環境下的虛擬機器。不過,服務提供商也可以提供無代理安全防護作為服務的附加選項,讓你可以管理自己虛擬機器的無代理安全防護。

 

理想的虛擬化和雲端安全解決方案需要提供無代理和基於代理的部署選項。隨著公司向雲端邁進,大部分都會部署混合雲,包含了私有雲和公共雲的元件。安全解決方案必須要可以靈活地佈署無代理安全防護到私有雲,還有基於代理的安全防護到公共雲,而且可以統一管理,整合協調這兩種環境上的安全策略。不管你在哪裡佈署雲端環境,你會希望安全解決方案可以很容易地跟上雲端運算所需的發展和變化。

  繼續閱讀