企业内部虚拟化、SOA和移动性的兴起正在产生新的网络安全威胁。
以虚拟机环境为例。这个环境包括一个虚拟机管理器(VMM)或虚拟机管理程序,它位于内核和主机操作系统之间,以创建一层一层的层,或者用某些人的话说,是一个“虚拟堆栈”。在这个堆栈中是虚拟机监控程序和客户层,它们彼此之间进行调用,并且不能被当今的大多数工具监视。
IT和商业分析公司Janco Associates的首席执行官M. Victor Janulaitis说:“这些新技术给IT专业人士带来了一系列安全难题。”“最普遍的问题是变更管理和版本控制,一直到移动电话,”他说。
最佳做法,标准和工具不断涌现,但他们大多是零散的,公开的解释和不完全在他们的报道。如今,使得任何这些技术问题的综合治理。
安全虚拟层
根据2007年11月的一份报告,到2009年,三分之二的组织将以某种重要的方式使用虚拟化Forrester研究公司的报告。
虚拟复杂:点击查看大图网络世界技术意见小组相隔六个月进行的两项调查显示,尽管这些技术存在固有的风险,但组织显然是在实施这些技术。有个足球雷竞技app
在2007年6月的一次民意调查中,有64%的受访者说他们相信虚拟化可以提高他们的记忆力安全风险。然而,在1月,977层的读者调查的60%的人说他们不持有这些和其它新技术的背,尽管安全问题。这可能表明一个冲上迁移,但采用企业真正正在他们的时间去思考的东西拿出来和他们非关键系统启动,Configuresoft公司的莫罗说。
“纵观整个虚拟化堆栈,企业面临的主要问题之一是缺乏一个整体的、连贯的结果视图,因此它们都在追求唾手可得的果实,”他说。“我们的一些最大客户……只是虚拟化了那些没有严格审计和尽职要求的资产。”
Mercy Medical是一家拥有6000名用户的教学医院,它不仅正在进行虚拟桌面试点,而且是一个大规模的服务器虚拟化项目。该中心的高级IT总监马克•赖因(Mark Rein)对虚拟化带来的效率推崇有加,但他也意识到了其中的风险。因此,他的组织在概念证明、系统相互依赖关系映射以及在将任何东西放入beta生产环境之前进行测试方面都非常小心。
例如,该中心的虚拟桌面试点开始与400名医生和居民在一月份。最终,慈善医疗计划发行键其移动家庭护理的工作人员。
今年2月,在完成概念验证后,该中心开始整合240台数据中心服务器,目标是在年底前将服务器数量减少到70台。整合是分阶段进行的,首先要实现50台非关键服务器的虚拟化——这些服务器没有直接连接到患者的护理。
你乘你失败的风险,当你移动到虚拟服务器整合,雷小山说,因为失去一个物理服务器的装置在同一时间失去了50个虚拟机。因此,慈善医疗依赖于在物理和虚拟机层的双冗余和故障转移。(欲了解更多关于赖的安全策略,请参阅“从防火墙‘燃烧室’的数据中心。”雷竞技电脑网站)
VMMs本身也需要保护。VMware的ESX,思杰系统'XenServer和Hyper-V的由微软轻量级操作系统自身是否会成为攻击者的诱人攻击目标,特别是通过SSH命令和其他管理路径,加州大学的CTO Dave Shackleford说在互联网安全中心和虚拟安全基准的合着者。
正如小山所说,“你可以在你的虚拟机黄金构建中构建反软件和安全控制,但你无法看到它们在虚拟网络中各自在做什么。”也不能监视虚拟机监控程序和虚拟机之间的调用,以发现异常行为。难道我们就因为(管理层供应商)这么说就相信它们是安全的吗?”
为了解决管理问题,微软于今年1月收购了Calista Technologies。它可能会在System Center虚拟机管理软件中加入Calista的集成虚拟化管理和安全技术。还有待观察的是,那些对自己的系统进行管理的虚拟机制造商是否会允许对机器行为的可见性,而这正是Rein这样的IT高管所需要的。
例如,Novell的的ZENworks Orchestrator的生命周期管理器可以告诉你,如果一个虚拟机从暂停或睡眠旋转起来,模式是经过批准的虚拟设备。它无法监控其虚拟机的反常结果,并发送警报的行为,但是。为此,Novell公司推迟到外部工具提供商理查德·怀特黑德,在公司产品营销总监说。
两个这样的工具蓝色巷技术“VirtualShield和反射安全的虚拟保安设备(问题)。它们监视通过虚拟机监控程序和虚拟机之间进入的恶意通信。
相关故事:四个虚拟化安全公司手表
雷恩说,他感兴趣的反射工具,但正在等待公司与他的微软环境中的分量出来。反射,反过来说,它正在等待的Hyper-V正式发布,今年年底预期,增加了微软组件之前。VSA是,在虚拟网络留意反常虚拟机的行为坐在一个虚拟机。它目前支持VMware的ESX服务器,Citrix XenSource公司和Virtual Iron的软件虚拟的铁。
目前,Rein使用的是来自PowerRecon的管理工具PlateSpin(被Novell收购)来看看在他的虚拟环境中发生了什么。作为PlateSpin流行的虚拟化部署平台的一部分,该组件支持资源分配和退款功能等管理功能。
该公司的产品管理总监克里斯•法罗(Chris Farrow)表示,监控客户机器不像调整主机和应用程序安全以处理所有虚拟事务那么容易Fortisphere,它使用标记技术来跟踪虚拟客户机,并阻止未标记的机器在主机上运行。
“客人们也有自己的挑战。虚拟世界中的客户机可以生活在网络上,但生活在仅以主机模式等待其主机的命令,或者处于挂起模式等待随时启动。版本控制是很重要的一点,因为在它们上线之前,你需要知道它们的状况,”他说。您还拥有管理程序。它的补丁和配置正确吗?它的活动和通信安全吗?”(见“没有补丁,虚拟网络上就没有位置。”)
这样的安全层的处理层虚拟化带来的风险:Virtualization-specific点产品,单独运行,传统的网络和系统管理工具产品涵盖一些VMM问题(没有考虑虚拟机活动本身),并为虚拟化问题特定的安全工具重置。
请注意,到目前为止所提到的产品都没有做任何事情来减少虚拟机从受控制的数据中心环境之外蔓延。例如,许多移动设备Mac用户Novell公司的怀特黑德指出,正在运行Windows电脑的虚拟机镜像,这样他们就可以在mac电脑上访问Windows数据。他说:“你需要进一步整合你的终端安全性,以防止恶意虚拟机安装在你的终端设备上。”
这些虚拟桌面也需要管理。Mercy Medical公司的Rein说,最简单的解决方法是使用虚拟化本身来控制移动计算机的构建并保护其运行。
“我们可以虚拟化桌面的图像转换成小型,廉价的便携式设备,加密他们,送他们出到他们单独运行,并从主机安全的世界,然后离开时,钥匙拔出背后的痕迹,”他说。“试想一下,补丁管理,更新和版本控制效率,为你的终点,”他补充道。
应用层的安全性
版本和配置控制也是重要的考虑因素SOA与越来越多的移动应用程序消息传递基础结构被构建在基于XML的SOAP协议。
Web应用程序已经在过去的两年里1号攻击向量。启动捆绑这些应用程序一起,并给了一个Web服务前端他们访问伙伴系统后端,你会看到攻击者利用此渠道进入后台系统,顾问Janulaitis说。
因此,RedRoller和其他企业SOA店都在艰难的斑点,当涉及到更新和修补发现自己。“没有办法,我们可以提供,我们做我们的中小企业客户没有我们的运营商合作伙伴提供访问我们,让我们可以提出他们的定价,峰值速率和时间的技术,”贾森·奥德韦,CIO在RedRoller说。“我们必须非常基本的,基于XML的API开始了,但船公司都动起来链条全面的,企业级的Web服务。这是伟大的,冷却和整洁,但我们必须对变化的东西我们一边,因为他们是我们的落霞年长的API“。
即使后端系统是完全基于标准的,版本控制仍然会有问题,Ordway说。他描述了这个问题:RedRoller的运输和供应合作伙伴会定期更新他们的系统。它们可能会提高交易成本、更改附加费或每年多次更新服务定位器,有时甚至是每月更新一次。虽然新的API版本是完全向后兼容的,但可以将这些更新翻译到RedRoller的配送应用程序,然后将它们转发到eBay,IBM和其他连接合作伙伴销售公司的服务深深地切入底线。
“对于每一个新版本,我们都要经过一个合规程序,”Ordway解释道。他说:“从头到脚,我们遍历了我们现有的应用程序、它们的输出和驱动程序,寻找跨系统和正在更改的数据字段的相互依赖关系。”
另一个安全问题与应用程序中用于将XML转换为HTTP(一种被IP防火墙普遍接受的语言)的解析器有关。使用第三方解析器的公司需要询问是否对解析器本身进行了安全强化,以及如何进行的,Steve Orrin说,他是at的安全解决方案总监英特尔,它提供了SOA安全工具包,一个标准的SOA的信息平台可以安装在应用服务器。此外,开发人员需要烘烤安全测试和硬化到他们的周期。
在数据库中,文件加密和字段加密对用户信息和订单信息的保护起着重要作用。为了传输SOA消息,它依赖于与它的运营商和参与的商家之间的SSL,以及通过它的系统与用户的浏览器之间的SSL。
Orrin指出,来自开放Web应用程序安全项目的Web应用程序加密标准、SOAP加密标准和其他标准,可以帮助构建可跨这些应用程序遵循的一致的加密和身份验证规则。
IBM SOA WebSphere安全网关产品的产品经理Gari Singh同意加密是一种良好的最佳实践,并指出了一些标准,如安全断言标记语言和x.509证书,它们与消息一起在网关进行验证。但加密的恶意HTTP有效负载通过防火墙的意外后果是令人担忧的,他说。“现在,有了加密的信息,防火墙和(入侵检测系统)就无法检查通过其网络端口的恶意有效负载。”
不要忘了,辛格补充说,这方面会马上回参与合作伙伴的服务器 - 这可以通过特制的XML消息和黑客解析器被利用途径(见下文‘四种新兴的SOA威胁’)。
专家们说,联合身份网络将在管理证书检查的请求消息穿越属于多个业主SOA中的多个系统的关键。辛格比喻这些网络治理的网络,将需要一个中介来处理供应和权利的元数据。
这样,层次就加深了。IDC预计,到2011年,全球用于soa项目的支出将接近140亿美元。