关于网络安全的六大热点问题

安全问题往往是郁积而非燃烧，但这六个问题确实能够在IT专业人员的注意下瞬间点燃一把火。小心轻放。

服务器虚拟化值得冒这个风险吗?

从传统服务器转移到虚拟机（VM）安排在硬件整合和卓越的灵活性，节约成本。但不太受欢迎的后果可能是安全缺口和虚拟服务器蔓延，风险是平局火从审计。

BT新兴技术办公室的高级顾问、支付卡行业(PCI)标准的审计人员Douglas Drew说，VM安全常常是事后才被解决的。“你如何处理访问控制或审计?”假设我将一个虚拟机的实例从机架a迁移到机架B:一个是需要物理标记才能到达控制台的锁定机架，另一个不是吗?VM hypervisor是否允许分离管理员A和管理员B，这样A只能在逻辑上接触系统A，而管理员B只能接触系统B?你是如何基于架构变更重新提高风险评估的?

Drew说，像更传统的网络一样，VM环境，无论是基于VMware、XenSource还是微软，都需要应用ISO 27002安全系统标准中定义的最佳实践。“我们看到过一些情况，人们接受VM的速度很慢，因为他们还没有接受它。”

很多人说VM软件开箱是不够安全。

“虚拟机是可移动的，它们被设计成可移动的，”David Lynch说，他是Embotics的市场副总裁，该公司生产VM生命周期管理软件。“你拿一个物理服务器做一个克隆。你失去了物理服务器的身份，但你现有的管理工具是基于你有一个物理服务器的想法。”

截至今天设计，VMware的VirtualCenter的管理不会阻止虚拟机蔓延，因为虚拟机的ID号可以改变和重新设置，林奇争辩。他补充说这是不可能的，以确保一个唯一的ID VM系统使用多个VirtualCenter的企业。

Embotics公司的软件，它与VirtualCenter的作品，试图通过使用密码散列，使用虚拟机元数据相结合，以品牌虚拟机ID是合法的和真实的补偿。其他初创公司，其中包括Fortisphere和ManageIQ，也应对虚拟机蔓延问题。

一些安全厂商深信，主要VM软件开发商都在这样一个急于得到他们的产品出来抢市场份额，随着安德鲁干草，在Q1 Labs的产品项目经理所说的那样，“安全是一个事后的想法。”

Hay指出，没有启用netflow的虚拟交换机来帮助进行活动监视。“你正在创建一个单独的网络，它恰巧位于一个盒子上，”Hay说。“但在虚拟化的世界里，没有人会推动流分析。”

如若这一切停止它从去虚拟经理人？底线，根据干草：“这将是最好的才去全速研究你的选择。”

阻止数据泄露能吸引律师吗?

数据丢失防护(DLP)——或者称之为数据泄漏保护——让你监控内容，以防未经授权的传输。（比较数据泄漏防护产品)。但在这方面积累经验的组织发现，DLP为企业网络的黑暗角落提供了如此多的光线，以至于it和业务经理可能会发现自己处于监管和法律上的危险之中。

“你摆脱无知遵守危险之中，”托尼·斯皮内利，在征信服务公司Equifax公司信息安全的高级副总裁说，描述部署的初期赛门铁克DLP在他的组织。DLP成为了黑暗中的聚光灯，暴露了需要改进的数据存储实践。

这就把业务和IT管理都放到了做出改变的现场。越来越多的安全管理人员发现，一旦挑剔的审计人员知道DLP工具已经到位，他们就会要求进行安全更改，而企业如果忽视这些更改，将面临法律风险。

那么，除了DLP可能仍然昂贵这一事实之外，这种“见多识广”的特点是否足以让潜在买家望而却步呢?也许吧，但这将意味着放弃最有前途的内容监控方法，而这种方法可能是帮助你的公司摆脱监管和法律麻烦所迫切需要的。

事先知道DLP可能是一种颠覆性的技术知道，安全管理人员可以制定计划，准备业务经理 - 合法的数据所有者在大多数企业眼中 - 以及审计和法律工作人员。

一位安全专家与DLP经验，罗恩Baklarz，谁最近离开MedStar健康加盟美铁作为首席信息官制度，说他与Reconnex DLP使用在MedStar的办法是使业务人员到数据监督程序。

“你需要遵守与他们合作，” Baklarz建议。给予授权的业务人员的登录技术DLP系统，使他们在数据丢失预防工作的积极参与者。

在最云安全：梦想还是危险？

据约翰·佩斯卡托，Gartner的安全专家谁一直在的云安全服务标签，对他们的基本的东西 - 无论是用于电子邮件，拒绝服务（DoS）保护，漏洞扫描或Web过滤 - 是，他们到一个替代的做它自己在购买软件或设备进场。

有充分的理由上升到云通过购买服务 - 而且时间留在地上的多域与你自己的东西。

首先，它是关于在云端的安全服务为两种基本类型，佩斯卡托表明企业值得思考的。第一带宽是基于，例如载波或基于ISP-DoS防护和响应。

“AT＆T，例如，能比你做得更好，更便宜，再加上他们过滤掉攻击进一步上行比你可以使用自己的带宽，”佩斯卡托说。另一个选择是从坚如要购买防DoS攻击的设备为植树节网络和建立你自己的保护。

第二个在云端的类型是Gartner公司更愿意称之为“安全即服务”，这是什么“完全从带宽服务的离婚，”佩斯卡托说。使用反垃圾邮件服务，例如，涉及重定向MX记录到服务提供商，但并不依赖于一个单载波继承权特定的带宽服务。

这种类型包括电子邮件垃圾邮件和防病毒过滤;漏洞扫描;和Web过滤。什么不包括，总的来说，无论是DLP内容监控和过滤或身份访问和管理，这是紧耦合的内部业务的变化。

使用安全作为一种云服务，使有很大的意义，以保护移动笔记本电脑，或者提供为广泛分布的分支机构的保护，佩斯卡托说，“对于非常大的全球性企业，这是有吸引力的，”他说。

然而，大多数公司可能会发现，通过部署自己的安全设备来过滤垃圾邮件、病毒和限制网络访问，继续保护内部操作是非常容易和划算的。

有需要过滤服务的潜在风险。你可能不希望通过这种第三方服务来传输敏感的商业交易。而且，总是有机会的服务可能会去的企业出来。

所有这些在云端的服务仍然是相当新的，仅在过去三年看到了井喷式增长，佩斯卡托说，与MessageLabs公司，微软，谷歌的Postini和Websense也在其中。Gartner估计，云内电子邮件安全服务在整个电子邮件安全市场的份额还不到20%，但到年底将跃升至35%，到2013年将达到70%。

据市场研究公司IDC的数据，去年市场对电子邮件安全软件是$ 1.38十亿，而家电另一个692.2 $万美元。在的云服务，IDC调用托管服务，为$ 454万美元。软件和设备预计将继续稳步增长（见图表），和托管服务将在2011年跳到今年的638亿$ $和1.39十亿。

这种在云端的服务扩展的鼓励Jericho论坛，约60公司的组织，一直积极推动创新的电子商务安全的周边的传统的企业边界之外河段。

“网络在云过滤在过去16个月里只有起飞，说：”保罗·西蒙兹，Jericho论坛董事会成员。“在今天的云服务比几年前有还有更多。”西蒙兹说，在企业网络中“消失周边”正在在的云安全服务，许多企业今天探索一个有吸引力的选择。微软会永远得到保障吗？

当涉及到安全性，微软可以得到任何尊重？

就连比尔·盖茨自己卑微的时间来解释为什么微软已经摸索球经常上的安全性。在在他最后一次公开露面RSA 2007大会他将产品安全的指挥棒交给了克雷格•蒙迪(Craig Mundie)，两人在台上就微软软件的缺陷做出了认错解释。

“人类是人类和他们犯错误，”蒙迪说，两人后来表明不够安全，在过去困扰微软的软件可以在早年基于被需要的，因为“大家都是感觉一些控件可以追溯到一个天真真的好”和数据中心似乎小心隐藏起来。雷竞技电脑网站

这几十年历史的包袱仍然是微软的负担安德烈亚斯·安东诺普洛斯，Nemertes Research公司高级副总裁兼创始合伙人说。

“今天就算，根本的设计决策由25年前仍心有余悸微软，”安东诺普洛斯说：“Windows Vista中是不是一个新的操作系统;也有很多的掩护下，旧的操作系统，这与它的行李携带近20年来，以确保应用程序的向后兼容性。”

微软陷入了难题，安东诺普洛斯断言。如果公司真的决定做软件一个新的开始，它可能会不得不牺牲财务优势。“这是不可能发生的，”他说。

伯顿集团的分析师丹·布鲁姆表达了类似的观点，他说，“他们是妥协在这个意义上，他们心目中的向后兼容性的限制。”

几年前，微软试图打破过去所谓的下一代安全计算基础（NGSCB）项目，但“他们杀了它，”布卢姆说。

根据Blum的说法，微软仍然沿着“方便、灵活和向后兼容”的道路前进，这使他们在市场上拥有最好的优势。布鲁姆认为，如果他是比尔•盖茨，他会尝试“并行方法”来开发下一代可信赖的操作系统，即使它会与现有的应用程序发生冲突。

在其他方面，微软已经产生了一种可行的身份战略整体，百隆说，但它已经被其步履蹒跚窗户-centric的做法。“他们从来不把邮票任何平台的不同，”他说。微软缺乏对SAML标准的支持，例如，“是一个很大的错误，而不是在行业的最佳利益。”

Antonopoulos认为，Linux、Unix和Macintosh操作系统比微软的产品更具“设计上的安全性”。

但安东诺普洛斯和百隆都表示，微软已经在Vista和XP2提高。

Antonopoulos说:“问题是微软的名声已经很坏了，很难再活下去了。”微软有很多才华横溢的工程师，他们有自己的身份和专业技能，但他们在工程会议上表达的想法似乎很少被微软软件采纳。“我认为他们必须被否决。”

对于一些与微软密切合作的第三方安全软件提供商来说，微软有时也在努力。

。它在不同的不同的人，“这是一个过山车，”菲尔·利伯曼，利伯曼软件的总裁，这使得密码和行政的管理工具与微软在桌面和服务器产品的工作“与微软的问题在于它不只是一个公司说，路径相互争斗“。

在微软的一些部门，如管理CRM或Office产品的部门，没有努力与第三方应用程序进行安全合作，而“核心操作系统组更加开放，”Lieberman说。

但与微软合作的最加重的部分 - 这可能是必要的，以获得微软官方认证 - 是，该公司未在技术文档跟上。

“大量的操作系统是没有文档记录的，”Lieberman说。“他们发展得太快了，发布和更新了很多，没人知道他们在做什么。例如，如果微软在周二的补丁中做了一些修改，一个[数据链接库]被修改了，他们不会费心去修改文档，结果你的应用程序就停止了工作。我们必须对此进行研究，我们发现他们已经改变了它。”

虽然承认微软的纪录不佳，其它的是一点点更温和的。

赛门铁克安全响应部门主管Oliver Friedrichs表示，微软的改进努力产生了“积极影响”。“微软提高了操作系统的安全性，这一点我们必须给予肯定。”

在过去的几年里，只是尚未类型的破坏性蠕虫攻击，如红色代码，冲击波和Nimbda，即利用了微软产品的洞沉船浩劫的世界各地。

“今天的攻击者都集中在第三方Web插件”的Friedrichs补充说。

“这很容易对微软挑选，因为他们是无处不在的，历史上有一个问题，说：” SystemExperts公司的乔恩Gossels。“但年复一年，他们的产品越来越好了，很多专业人士那里正在努力寻找的bug“。

NAC：你的防火墙够了吗？

网络访问控制（NAC）是不是对每个人，但它可以用于控制，使个人获得网络接入的情况下，一个有价值的工具。（比较网络访问控制产品。)

这对受到严格监管的企业可能很有价值。NAC可以在终端被允许进入公司网络之前对其进行全面检查，这种检查可以帮助安抚要求执行有关合法终端配置政策的监管机构。

大多数NAC平台不但实现这个功能，但他们保持执行它的记录，要求的东西通过各种法规，如支付卡行业（PCI）标准和健康保险流通与责任法案(HIPAA)。

根据Gartner的说法，筛选访客用户是NAC可以很好解决的一个特殊问题。Gartner分析师Lawrence Orans在一份报告中表示:“大多数计划部署NAC的Gartner客户都表示，他们的首要任务是实现客户网络。”“在2007年，许多安全经理认为NAC是一个战略性的安全过程，他们能够利用客户网络的短期利益来证明在NAC上起步的合理性。”如果企业有各种各样的全职员工、承包商和客人定期使用他们的网络，NAC可以帮助确保他们用于连接的设备符合配置政策。对于不合格的机器，NAC可以修复它们，隔离它们，或者授权它们访问只有有限资源的网络段，在那里它们可以做有限的破坏。

同样，企业，基于部门或工作职能可以使用授权控制在NAC需要分割他们的网络这样做的一个相当详细的级别。

弗雷斯特研究公司的分析师罗布·怀特利说:“如果公司有多重合规要求(萨班斯-奥克斯利法案，PCI, HIPAA)，多样化的劳动力(雇员，承包商，远程工人，合作伙伴，供应商)和全球运营(按地区，业务单位和其他划分环境的需要)，我们就会看到一场完美风暴。”

NAC最终将成为更少地依靠外线的分层安全架构的元素防火墙作为主要的堡垒，更在寻求缓解威胁的安全层，怀特利说：“这是周围的多层保护一个更大的趋势的一部分。NAC是没有必要的，但将成为这些新安全架构的重要组成部分，”他说。

大多数网络没有NAC也能正常运行。这项技术降低了受损机器获得网络接入的风险，也降低了如果它们设法进入网络，可能造成损害的风险。但这并不能保证安全。NAC的出现是为了应对传统的第3层防火墙无法处理的威胁，虽然也有NAC无法处理的威胁，但它可以做出重要的贡献。

“问问你自己：你的防火墙够了吗？”怀特利说：“如果是这样，NAC是最有可能不需要它提供了额外的主机完整性检查，但这提供超出更精细的认证和授权的价值不大。 - 这是真正的尝试来弥补今天的防火墙的缺点”。

它打败补丁管理了吗?

补丁和漏洞管理工具可以在静态的受控环境中检测和保护易受攻击的机器补丁和漏洞管理产品。)技术领域被认为是IT经理的优先事项，他们很可能已经花费了许多年来完善他们的漏洞扫描、补丁测试和软件分发流程。

根据企业管理协会（EMA）的调查，接受调查的250名IT经理超过四分之三（76％）有某种在内部补丁管理产品，并说打补丁是一种重要的非常重要的过程。300名网络管理员芬戴克软件公司的第五次年度企业安全调查显示，30％还是担心打补丁，已经下降了多年来的一个数字。一些行业观察家推测，减轻忧虑反映了补丁管理产品和IT经理的过程成熟度。

“我们真的没有任何改变什么需要修补，远程接入用户，谁是不断的困难让我们不断打补丁之外，”克雷格·布什，在精技在盖恩斯维尔，佛罗里达州的网络管理员说“。目前，我们不得不等待，直到客户端连接到我们的VPN，使更新发生，这并不总是有规律的。”

布什说，他的打补丁过程是成熟的，但供应商可以通过建立在用户时间对正确测试补丁在分布式机器轧出来之前缓解这一进程。

“供应商应确保他们正在推动，把他们扫地出门之前全面测试补丁，”他说。“这是开源技术更容易使用比它是封闭源代码的公司，如微软，这往往会对补丁和修复更长的准备时间。”

然而，行业观察家说今天打补丁，还是今后将有更多的是与用户环境比供应商更新的问题。他们警告说，尽管补丁管理技术可以被认为是成熟的，如环境演进到包括更多的虚拟化和复杂的应用基础架构，打补丁需要长大。而反过来，厂商比如Altiris（现在的一部分赛门铁克），BigFix的，CA，圣伯纳软件，PatchLink公司Shavlik公司和技术公司将需要把虚拟化和其他技术支持，为他们的工具，以充分补丁的客户环境。

“这是一项相对成熟的技术，但这并不意味着它处于控制之中。目前，虚拟化等领域的补丁还相当不成熟;服务器和桌面虚拟化正在抛弃旧的补丁规则，”EMA的研究总监Andi Mann说。

据曼，虚拟化引入了复杂性，以及成倍更多的机器在相同的时间内进行修补。这可能会导致IT经理加快补丁测试过程中，这将最终导致生产机器上配置冲突。“测试是补丁的一个关键要素，并与像零日攻击直接威胁和虚拟机之间的某些所有的更新将共同努力，保护环境的扩散是比较困难的，” Mann说。

再加上依赖补丁说，在双修，诺埃尔＆Associates的首席分析师茉莉花诺埃尔，并修补可能成为IT经理们新的挑战。随着环境变得更加复杂和供应商发布补丁的增长，她说，更新的测试和分布层将打破旧的方法来修补许多IT管理人员的数量。

仍然需要做的是对来自多个供应商的补丁进行排序，因为所有的基础设施层——硬件、物理机器上的操作系统、虚拟化软件和虚拟机(操作系统和应用程序堆栈)——那么安装补丁的正确顺序是什么生命值，微软和甲骨文那些上周二发布的补丁?”她问道。