自動化的虛擬環(huán)境中的安全威脅

申請免費試用、咨詢電話：400-8352-114

    如果您認(rèn)為，利用新型數(shù)據(jù)中心技術(shù)重新構(gòu)建您的IT基礎(chǔ)設(shè)施就可以使公司在未來的十年中得到全面的保護(hù)，那么我們奉勸您三思而行。專家認(rèn)為，在自動化的、按需配置的虛擬計算環(huán)境中，安全將變得異常復(fù)雜和困難。

    加利福尼亞Palo Alto研究中心（PARC）研究員Dirk Balfanz指出，如果使用了新型數(shù)據(jù)中心，企業(yè)將不再是一個擁有吊橋和單一入口的堅實城堡，壞人可以自由出入，毫無限制。企業(yè)網(wǎng)絡(luò)中的每一個節(jié)點和網(wǎng)絡(luò)上的每一臺計算機(jī)都必須安裝安全軟硬件，并且獨自承擔(dān)防御的職責(zé)。

    紐約SANS學(xué)院的講師Ed Skoudlis指出，復(fù)雜性是安全的大敵。人們對創(chuàng)新和新功能的不懈追求最終只會帶來一大堆難以解決的復(fù)雜問題,而這種復(fù)雜性正是滋生錯誤的溫床。

    Skoudlis說：“無線網(wǎng)絡(luò)、Web服務(wù)和其他新興的架構(gòu)也對IT經(jīng)理們提出了新的挑戰(zhàn)。他們將不得不在網(wǎng)絡(luò)中的各層上實施安全措施。過去的技術(shù)上有很多的安全層，而在新的架構(gòu)中，這種安全層將會更多?！?

    PARC的研究人員都認(rèn)同這一觀點，因此他們一直在研究一些方法，防止用戶在遇到太多安全層后產(chǎn)生挫折感并最終忽視，甚至破壞安全程序。Balfanz舉例說，根據(jù)PARC的研究，要想讓用戶在筆記本上實施802.1X安全措施，通常要用去整整兩個小時的時間。他說：“如果安全程序太困難，用戶很可能會放棄部署它。很多用戶都沒有足夠的耐心和毅力，他們會停止使用網(wǎng)絡(luò)中的安全特性，而網(wǎng)絡(luò)中的數(shù)據(jù)自然也就處于巨大的危險之中?！?

    PARC的安全研究小組開發(fā)出了一種架構(gòu)，能夠消除用戶的挫折感，并且使IT部門能夠繼續(xù)實施更為嚴(yán)格的安全措施。利用這種架構(gòu)，用戶可以將自己的筆記本通過紅外線等安全近距離方式連接到一個“注冊站”。當(dāng)注冊站完成驗證后，用戶即可獲得網(wǎng)絡(luò)的訪問權(quán)并且開始接收數(shù)字證書，數(shù)字證書會在筆記本上自動配置網(wǎng)絡(luò)策略設(shè)置。Balfanz說，整個過程所用的時間還不到兩分鐘。 

    基于語言的安全技術(shù)

    紐約州Cornell大學(xué)的安全研究人員最關(guān)注的是編程技術(shù)，包括那些創(chuàng)建Web服務(wù)的技術(shù)。Cornell大學(xué)信息保障學(xué)會主任Fred Schneider說：“如果Web服務(wù)在創(chuàng)建時就存在漏洞，那么當(dāng)Web服務(wù)在網(wǎng)絡(luò)中共享使用時，這些問題便會以非?？斓乃俣葌鞑ラ_來。如果您只負(fù)責(zé)創(chuàng)建其他的項目，那么您就不一定了解每一個部分的特性。安全是一個非常復(fù)雜的問題，產(chǎn)品的安全性不是看一看界面就能評估出來的?！?

    他的研究小組正在與英特爾公司和美國海軍研究局合作研究一個名為“基于語言的安全”的項目。該項目的目標(biāo)是為新興的技術(shù)制訂出一些基本的高安全性原則，例如內(nèi)嵌式參考監(jiān)視器、信息流策略、校驗代碼和認(rèn)證編譯器。

    Schneider還倡議使用安全系統(tǒng)語言，其工作方式非常類似通用的C語言。他希望將這些實際的組件引入比較新的應(yīng)用中，例如使Web服務(wù)能夠承受可擴(kuò)展系統(tǒng)生成的錯誤。

    安全和隱私

    Ken Klingenstein是Internet2中間件和安全計劃的主管，他對于降低復(fù)雜性并不抱什么樂觀的態(tài)度。他說：“目前短淺的解決方案、深層的漏洞和隨時間累積起來的各種復(fù)雜問題都不是那么容易解決的，這意味著我們面前還有很多的困難?！?nbsp;

    但是Klingenstein認(rèn)為，在Web上共享資源的方式卻是完全可以改進(jìn)的，而且這種改善并不會使用戶的隱私保護(hù)受到任何的不良影響。他說：“安全和隱私這兩種看似互不相關(guān)的目標(biāo)完全可以同時實現(xiàn)。” 

    Internet2創(chuàng)建了一項名為“口令項目”（Shibboleth Project）的計劃，目的是解決不同企業(yè)間對簡單、安全數(shù)據(jù)訪問能力的需求?！翱诹钕到y(tǒng)”中包含了一些開放源代碼的身份供應(yīng)商和服務(wù)商組件，它使網(wǎng)絡(luò)用戶能夠在不經(jīng)過多重注冊的情況下就對其企業(yè)內(nèi)部和外部的數(shù)據(jù)實現(xiàn)訪問。而且在這一過程中，用戶也不需要提供不必要的個人信息。 

    Klingenstein說：“這一項目的目標(biāo)是讓用戶只向內(nèi)容供應(yīng)商提供最少的信息，內(nèi)容供應(yīng)商則用這些信息來確定用戶是否擁有訪問內(nèi)容的資格。”他還認(rèn)為這種方法可以有效地減少身份盜竊和詐騙等問題。 

    通過使用通用的安全標(biāo)準(zhǔn)，如推進(jìn)結(jié)構(gòu)性信息標(biāo)準(zhǔn)組織（OASIS）的安全聲明標(biāo)識語言、公共密鑰基礎(chǔ)設(shè)施和X.509，“口令系統(tǒng)”要求內(nèi)容供應(yīng)商使用服務(wù)商的軟件，而加入該網(wǎng)絡(luò)的用戶也必須使用身份供應(yīng)商的軟件。例如，一位學(xué)者去訪問另外一所大學(xué)的資源站點，而且該站點正在運行“口令”服務(wù)商的組件。這位學(xué)者將被要求在擁有權(quán)限的機(jī)構(gòu)中進(jìn)行選擇。當(dāng)他選擇自己的大學(xué)時，瀏覽器會自動將他轉(zhuǎn)帶至自己大學(xué)的登錄頁面，該頁面也在運行身份供應(yīng)商的軟件。然后，這位學(xué)者就像平常一樣用自己的用戶名和口令登錄，系統(tǒng)則對他的身份進(jìn)行驗證，通過驗證后，他又會被帶至目標(biāo)資源站點并在那里獲得自由訪問信息的權(quán)限。 

    “口令”目前已經(jīng)在企業(yè)中得到了初步的應(yīng)用。賓西法尼亞州立大學(xué)已經(jīng)對該系統(tǒng)進(jìn)行了測試，并允許學(xué)生利用安全的方式訪問校內(nèi)的Napster音樂服務(wù)。同時，網(wǎng)格計算界也采納了“口令”，并將其視作一種關(guān)鍵的安全技術(shù)。 

    在另一方面，內(nèi)容供應(yīng)商都非常擔(dān)心數(shù)據(jù)中心的分布式特性—尤其是分離的設(shè)備和不斷增加的企業(yè)伙伴，會降低其對數(shù)據(jù)的控制并危及數(shù)據(jù)的安全性和完整性。在如今這個講求符合性和法規(guī)限制眾多的年代，這種情況無疑是不可接受的。 

    但是，為了解決這一問題，內(nèi)容管理研究人員正在努力開發(fā)一種數(shù)字權(quán)利管理平臺。這種管理平臺可以對數(shù)據(jù)提供完善的完全保障，即使數(shù)據(jù)在網(wǎng)絡(luò)的覆蓋范圍之外也能得到保護(hù)。ContentGuard是一家由原PARC研究人員建立的企業(yè)，該公司業(yè)務(wù)開發(fā)主管Hari Reddy說：“IT企業(yè)應(yīng)當(dāng)了解數(shù)據(jù)是在哪里使用，以及如何使用的。那么，當(dāng)數(shù)據(jù)已經(jīng)離開您的安全模式時，您又如何來管理數(shù)據(jù)呢？擴(kuò)展型企業(yè)和數(shù)據(jù)共享使數(shù)據(jù)的管理變得異常復(fù)雜，所以解決的辦法是，在某些時間段上停止已交換數(shù)據(jù)的特定使用方式。” 

    ContentGuard公司目前仍然在開發(fā)可擴(kuò)展權(quán)利標(biāo)示語言（Extensible Rights Markup Language，XrML）。這是一種提交給OASIS和其他標(biāo)準(zhǔn)組織的事實上的工業(yè)標(biāo)準(zhǔn)，是其他任何數(shù)字權(quán)利語言規(guī)格的基礎(chǔ)。XrML可以為數(shù)字內(nèi)容和Web服務(wù)擴(kuò)展出一系列的權(quán)利賦予業(yè)務(wù)模型。它使IT經(jīng)理們能夠為那些分布在企業(yè)圍墻外的內(nèi)容制訂詳細(xì)的限制規(guī)則，并且使IT經(jīng)理們能夠?qū)?shù)據(jù)和Web服務(wù)的生命周期實施有效的管理。 

    例如，某家企業(yè)可能制訂一些控制規(guī)則，規(guī)定哪些人可以使用數(shù)據(jù)或Web服務(wù)，哪些人可以分配數(shù)據(jù)。Reddy說：“這樣，數(shù)據(jù)的創(chuàng)建者就可以規(guī)定‘Alice有權(quán)查看這些數(shù)據(jù)，但波士頓大學(xué)有權(quán)進(jìn)行數(shù)據(jù)的授權(quán)和分配’?！?nbsp;

    Reddy說，XrML是多層分布式架構(gòu)中的一部分，在這種架構(gòu)中必須包含一個時間元素，規(guī)定數(shù)據(jù)在多長的時間內(nèi)有效。例如，首席財務(wù)官可以規(guī)定分配的財務(wù)數(shù)據(jù)在30天內(nèi)有效，而一家廠商也可以規(guī)定自己送出的技術(shù)手冊在6個月后自動失效。因此，當(dāng)數(shù)據(jù)離開其發(fā)源地時，這種前后關(guān)聯(lián)和控制關(guān)系將是必須的。

    他說，有了這種機(jī)制，過去只管理網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的內(nèi)容存儲部門也可以在數(shù)據(jù)移動的全過程中對其施加管理。

    來源：CCW