【TechTarget中国原创】无恶意却办坏事
网络管理者面临的挑战是虚拟架构使一些无恶意的员工有权安装一些系统,而这些系统不遵从精确的审计体系。审计体系的建立是防范一些灾难的产生,如一个员工丢失了存有千万个信用卡号的笔记本电脑,或者象在Societe Generale事件中因一个员工的疏忽造成了七十亿美金的贸易损失。
在物理环境中,当你想配置一台服务器时需要安排确定布线的时间并需要获得允许。而在虚拟环境中,配置一个虚拟服务器并让它运转起来只需要几秒钟的时间。结果是,并没有恶意的员工在没有资格运行或没有为服务器打补丁的情况下配置了新的虚拟服务器,而IT部门无法对此进行管理。结果就是很多服务器在没有维护和打补丁的情况下在运行着。
Moore说:“我们遇到过这种情况,管理者不知道服务器属于谁。可以使用基于服务器的接入控制工具来解决这个问题,如果有人想在网络上放置一台服务器,就必须被验证。举例来说,你可能不想让它象PCI一样在同样的逻辑网络中运行。应用虚拟防火墙,他们可以决定是否允许服务器运行以及在哪里运行。”
当不需要虚拟服务器时,可以将虚拟服务器象照片一样离线存储起来。同时,它会遵从所有的安全补丁。但在中间的休息期间,新的弱点可能被挖掘或者会打上新的补丁。安全经理需要有个系统来保证这些解包的服务器没有进入生产。
Moore说还存在另外一个问题,即在一个物理环境中,当网络超负载时,人们经常将装置从网络中移除。他们更关注连接性而不是安全性。当拥有了虚拟防火墙后,可以动态的将更多的资源分配给防火墙。
新思考方可带来更多安全性
随着新的审计需求重要性的增长,企业应该重新考虑保护企业财产的战略。这些挑战不仅存在与保卫黑客攻击的过程中,在一些无恶意员工的行为中也存在挑战,这些员工为了完成某些任务会破坏一些规则。一些草率的决定会使项目早一点结束,但如果发生安全问题则会给企业带来惩罚和灾难。
令人费解的是许多虚拟化技术带来的安全益处远大于带来的NAC挑战。Whiteley解释到:“在数据中心中,我更有效的保护了应用。通过保护数据中心安全,我可以通过掌控所有东西来提升架构安全性。”
随着资产的增加,企业将拥有更加集中的服务器。获取数据会更容易,拥有多个虚拟机的虚拟服务器是一个潜在的安全故障点。Whiteley说:“服务器的虚拟化和客户端是一个新的操作系统。这会创建一个新层,并被错误的虚拟服务器危害到。VMware意识到了这一点,并且作为一个领导厂商,为保护他们的系统程序做了一些事情,并开放了一些API让其他人也可以顺利监测到恶意行为。”