Bromium一家资金充足的初创公司是否承诺能发挥一些很少被使用的内在优势Xen虚拟化为了确保公共云的安全,为企业提供了更大的成本节约的可能性,企业将能够信任这些服务提供更多的数据。
该公司的创始人之一西蒙•克罗斯比(Simon Crosby)表示,隔离功能并为硬件系统建立一个可信的核心,可以创建一个公共云环境,以满足担心数据安全的监管机构的审查。
在克罗斯比更多:Xen的教父:虚拟化是公有云安全的关键
由于Bromium目前仍处于隐身模式,Crosby故意在这方面含糊其词,但他确实指出,现有的技术可以将部署在公共网络中的安全系统封装起来,并向客户保证数据的隐私将得到维护。
有个足球雷竞技app高级编辑蒂姆·格林最近和克罗斯比谈到了这一点。以下是经过编辑的对话记录。
你对每天都要处理Xen这件事有什么看法?
我没说我把它留下了。这是一个开源的代码库,我们在Bromium所做的一切都是基于我们所学到的一切,也就是开发软件和交付更好的系统开源.所以,开源是我们在Bromium所做一切事情的核心,毫无例外。伊恩•普拉特(Ian Pratt, Xen的父亲和Bromium的联合创始人)仍是Xen.org的董事长,我们在Xen领域仍然非常活跃。我们很难放弃我们已经开发的产品,特别是XenServer和XenClient,但Xen作为一项技术仍然非常高效,而且它正在进入不可思议的领域。这是非常有趣的。
你说的不可思议的地方是什么意思?
每当我揭开某个正在交付的新部件的外壳时——所以它已经深入到科学世界——许多设备都是用基于xen的虚拟化构建的。它在云里无处不在在我想象不到的地方,有些我甚至不允许告诉你们。Xen确实极大地改变了整个云业务,而且我认为这种改变还在继续。
你为什么不能谈谈Xen部署的一些地方?
溴在这个世界上做了很多有趣的事情安全我认为实际上与信任或值得信任更相关。我们接触过的很多人,当然是那些我们在联邦政府中打交道的人当我们建立XenClient的时候。这些人运行着非常安全的系统他们甚至都不告诉我因为我没有安全许可。所以谈话通常都是单向的,他们总是和一个叫鲍勃的人在一起,尽管他们看起来都不一样。值得注意的是,开源为将技术交付到信任是绝对基础的社区提供了一个奇妙的工具,在那里他们似乎更喜欢开源方法,因为一切都是公开的。这样他们就可以自己动手,不用相信任何人。他们不需要相信我或其他人。他们可以将自己的眼睛放在代码上,特别是在XenClient的情况下,核心安全模块是由联邦安全机构的贡献者编写的,这些人通常不会做这项工作。
Xen仍然是迄今为止最小、最成熟的[虚拟化]平台。我们可以让它更小,更安全。
越小越好。在一般的系统中,人们今天处理的XenServer,甚至是VMware所做的,这些都是小的系统,但是当它们变得更大的时候,这些设备驱动程序是他们必须随身携带的,因为它们最终会运行所有的硬件。一般来说,这是你必须处理的问题。所以Hyper-V很小,但考虑到所有的设备驱动基础设施,它变得更大了。从目标的角度来看,让这些东西变得越来越小,越来越不可见,越来越小是更好的选择。最终,您希望能够在平台中以某种方式裸露hypervisor,这样您就可以处理有限的硬件集,而不必携带大量的驱动程序。XenClient这样做是为了一个相对有限的[硬件兼容性列表]。但没错,让事情变得更小、更快、更精简始终是我们的目标。一个反例是,窗户也就是6000万行代码,对吧?如果您简单地假设您的漏洞与代码行数成正比,那么您希望将其删除。
顺便说一下,KVM也有同样的挑战,一般来说,它和Linux.KVM驱动程序本身很小;这项链非常精致。只是当您实现KVM时,在它下面运行的是Linux。这也带来了自己的挑战。
那么,您认为在虚拟环境中处理安全性的最佳模型是什么?
答:我认为当我们在五年后回顾时,我们会发现硬件虚拟化的核心价值是安全。实际上,这是更好的信任或更好的隔离,而不是我们今天提出的所有宏伟的虚拟化案例。因此,即使在云计算中,虚拟化的主要用例,在五年左右的时间里,也将是通过隔离实现安全性和安全性。现在我觉得我们的状况很糟糕. ...毫无疑问,世界500强公司中没有一家是不妥协的,现在发生的事情真的很可怕。我认为这主要是因为在过去十年左右的时间里,我们一直在享受着做美好事情的好处,而其他人一直在关注着如何摆脱这种状态。我们在后面。
虚拟化能在安全方面有所帮助吗?明确地说,虚拟化是一种隔离技术,我认为我们开始看到虚拟化以几种方式作为安全技术使用的第一批案例。我认为其中之一是创建一个高度安全的云系统,可以用于交付多级安全系统。英特尔最近宣布了其DeepSAFEMcAfee是一种类型1 hypervisor的早期加载,它的唯一目的是保护运行时。因此,您开始看到虚拟化安全在客户机上的具体使用。我想最终还是会一样的服务器系统。显然,您必须让服务器管理程序学习新东西。
你说的孤立是什么意思?
我会在桌面的背景下讨论它,它有六千万行漂亮的代码微软我访问过的每个网站都是不同的信任域。然而,他们都在这六千万行代码中共存。这就是问题所在,因为我们在操作系统中用来隔离不同信任域的结构非常粗糙,通常很容易妥协。例如,当一个网站下载一个获得特权的activex时,很容易在这两个信任域扩展这些特权。你可能有一个抽象的过程或用户标识符。
这些都是非常粗糙的,可以说我接触过的每一个网站或每一个应用程序都是一个不同的信任领域,必须以这种方式得到尊重。总的来说,我们的问题是,我们有太多的信任域与大量相对有漏洞的代码混合在一起。这是一个从开放的公共不安全的世界进入私人世界的机会。也许是一种解释,但我企业的最大威胁,因为每天我走在环境缠绕着我,我所有的朋友,所有的人我喜欢交谈和一大堆企业任务要做。当我的一个朋友让我打开一个附件时,砰的一声,这个人就进入了企业。
我们面临的挑战是集中化。我们有大量的代码不能隔离信任领域,而且我们对用户在安全环境下的行为做了非常糟糕的假设。我们所有人都应该感到害怕的是,我们对侵犯个人隐私的行为是多么的宽容,无论是在消费者身份、Facebook还是其他方面。但我们每天都把这些行为带入企业。所以当我收到朋友的生日快乐邮件时,我会点击它,我们就完成了。用户,不管你怎么训练他们,他们还是会犯错。用户追求的是乐趣而不是功能。安全性通常会限制功能,这让用户想要离开安全的世界,进入Dropbox这样的公司。我不能通过我的Exchange服务器发送一个大的ppt吗?我得通过Dropbox寄过去。 In general everybody is using the cloud, they just don't know about it. That's a woeful state. The only reason that is the case is we're so poor at architecting trust. I think Microsoft is going down the right path, by the way. In Windows 8 they're doing a much, much better job, but it's still pretty bad.
您是否建议终端设备根据通信内容支持不同的安全域?
同样的参数也适用于服务器端。登录到同一Web服务器的每个人都处于某个进程的同一上下文中。有些人是攻击者,有些人只是想做银行交易。问题不是一个云计算问题而是一个客户端服务器问题,我们在隔离计算单元方面非常糟糕这些计算单元应该彼此隔离因为它们必须与提供商建立信任关系或者彼此不信任。这就是溴要解决的问题。它不是一家保安公司,因为它能找到坏人。我认为我们在这方面是无能为力的,总的来说,这个行业在这方面也是无能为力的。顺便说一下,这只不过是对一个众所周知的计算机科学结果的重述,那就是一个程序不可能决定另一个程序是好是坏。我们需要勇敢地面对并摆脱愚蠢的游戏,即试图决定一段代码是否是攻击者。黑名单吗? It's done. Over. We should get out of it. It's ordinary enough on any system for the bad guys to change before you can get any new signature. So we need to just admit blacklisting is done. Whitelisting doesn't go far enough. The code that you know about is fine, you know that it's fine. But it doesn't say how trusted code -- that is well-intentioned code -- behaves when it is combined with untrustworthy data. That's a very challenging problem.
虚拟化技术可以在这方面提供很多帮助,因为首先,如果您有一个系统的可信组件,比如管理程序,那么应该有几十万行代码,这是一个小得多的漏洞占用。其次,我们在构建系统时需要知道用户会犯错误。我们是攻击的载体,即使用户犯了错误,我们也必须能够保护系统。第三,我们必须能够处理可怕的事情,比如零日。我们必须知道我们的代码有漏洞,甚至当我们的代码让我们失望,因为我们只是人类毕竟和我们写坏代码——我们必须能够使混凝土声明关于剩余系统的可信度和他们是否已经丢失或受损。这是绝对的基本要求;我们必须。在云系统的特定背景下,没有TPM (Trusted Platform Module,可信平台模块)硬件子系统的服务系统将没有任何理由被出售。这样你就能理解代码库的安全性了。没有理由让云中的每个数据块都不加密。 You can encrypt it at wire speed and there is no excuse ever for the cloud provider to manage the key. So what should happen is when you run an application in the cloud you should provide it with the key and only in the context of the running application as the data comes off some storage service it is decrypted and goes out re-encrypted on the fly. That way if somebody compromises the cloud provider's interface or if someone walks into the cloud provider and walks off with a hard disk, then you are OK. And there is no reason that people should not do this.
所有这些技术都在那里。服务器供应商没有理由不在每台服务器上安装此功能。我对每个企业的建议是,不要购买没有TPM的服务器。不要使用不使用它的管理程序。我们需要利用硬件的所有功能,让世界更加安全。人们应该打败他们的供应商,直到他们在这方面做得更好——hypervisor供应商、服务器供应商和其他一切。