【IT专家网独家】服务器虚拟化是否值得?
与传统的服务器相比,虚拟服务器因其在硬件整合上的成本优势和灵活操作性广受瞩目。但是也有可能出现安全空缺和虚拟服务器的蔓延。
一位来自PCI标准的高级专家说,虚拟安全往往是事后诸葛亮。诸如怎么样处理访问控制和审计?譬如一个人想把虚拟机器中的一个食物从通道A转到通道B:这时候是否需要获得进入控制台的许可证?虚拟机器的系统管理程序是否允许管理员A和B的分离,这样A和B只能各司其职?怎么样根据架构的变化重新评估风险等级?
相关内容:
与其它传统的网络类似,各种虚拟网络环境,不管是基于虚拟软件,XenSource,或是微软技术,都需要满足ISO 27002标准对于安全系统的要求。专家注意到有一些虚拟机器根本就不满足这一标准。
很多人对虚拟软件的安全都不信赖。
“虚拟机器是移动的,设计的初衷就是这样,”一家专注于虚拟机器生命周期管理软件公司的营销副总说,“购买一台实体服务器,然后克隆一下。你失去了实体服务器的身份,但是现行的管理软件依据的还是实体服务器。”
照现在的设计来看,虚拟机器软件的虚拟中心管理并不能阻止虚拟机器的蔓延,因为虚拟机器的身份可以随时改变和重设。对于那些使用多台虚拟中心的企业来说,要保证唯一的虚拟机身份系统是不可能的。
一些安全厂商坦诚,现在主要的虚拟机器软件厂商过分的关注市场份额的增长,却忽略了安全问题。专家说,现在市面上还没有任何一款虚拟化开关可以帮助监控网络流量的异常情况。
所有这些会阻止当前的虚拟化浪潮吗?正如业内人士所述,底线就是在选择之前好好研究一下虚拟化决定是否值得.
防止数据泄漏是否会导致法律问题?
数据流失保护(DLP)可以帮助监视未经许可的文件传输。但是使用这一技术的企业发现,由于对于企业网络的过度透明,企业的IT管理人员和经理发现他们处于法律和监管的风险之下。
一家公司的安全主管形容,“最初我们是从忽略慢慢转向了顺从的危险”。自从公司部署了赛门铁克的DLP之后,公司在数据存储的很多方面都得到了大大的提升。
这些都促使商业和IT管理的变革。一些安全管理人员发现一些挑剔的安全审计人员,一旦他们知道DLP工具在哪,就会要求企业改变那些可能会触犯法律的安全措施。
相关内容:
这只是眼见为实的一个方面——DLP昂贵的花费之外——而着就足以打消潜在的客户?但是这也意味着远离最具潜力的内容监测技术,这可能会帮助你的企业远离诉讼。
事先知道DLP可能是有缺陷的技术,安全人员可以事先准备好应急预案,应对审计人员和司法部门的检查。
一位有着丰富DLP经验的工程师说,我们应该让企业管理人员积极参与到DLP系统中,这样可以有效的防止数据泄露。
模糊的(in-the-cloud)安全:虚幻还是危险?
一位嘉德乐的安全专家说,关于这些的基本事情——不管是电子邮件,DOS保护,漏洞扫描或是网络过滤——这些实际上都是在购买软件或是设备时DIY策略的替代。
有两种类型的安全访服务值得思考,第一种是基于带宽的,譬如基于载波或是ISP(因特网服务提供商)的DOS保护和回应。
第二种就是称之为“作为服务的安全”,这与基于带宽的服务完全不同。使用反垃圾邮件服务就是把多重地址记录返回给服务提供商并不是把特定的带宽与谋个载波绑定。
这种类型的技术包括,垃圾邮件和杀毒软件过滤;漏洞扫描和网络过滤。大体上来说,不包括DLP内容监测和过滤或是身份访问和管理,这些都是与企业内部管理变化联系的。
使用安全作为服务(security-as-a service)在保护笔记本或是对广泛分布的办公室的保护上是很有效的。对于跨国企业来说,这是很有吸引力的。
但是绝大多数的企业发现部署更适合自身企业的安全来应对垃圾邮件,病毒和限制网络连接更加简洁划算。
使用过滤服务存在潜在的风险。你可能不想使用这种第三方的服务来传输敏感商业文件。这样很容易导致泄密事件。
所有这些模糊安全服务任然很新颖,过去三年增长了不少,譬如MessageLabs(信息实验室),微软,谷歌的Postini 和 Websense就已经在市面上出现,根据高德纳咨询公司的估计,in-the-cloud 电子邮件安全服务目前站的市场份额大概是20%,在未来的5年之内将会以每年35%的速度增长,2013年将占70%。
据IDC调查,去年电子邮件安全软件的市场份额是13.8亿美元,相关的应用程序接近七亿美元。In-the-cloud服务的价值约4.5亿美元。软件和应用程序将会持续增长。
网页过滤的发展实际上只是过去16个月的事情,还有许多类似的服务的发展也只是几年的时间而已。由于企业网络中正在消失的边界正使得模糊安全服务为越来越多的企业所采用。
