自動(dòng)化的虛擬環(huán)境中的安全威脅

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

    如果您認(rèn)為，利用新型數(shù)據(jù)中心技術(shù)重新構(gòu)建您的IT基礎(chǔ)設(shè)施就可以使公司在未來(lái)的十年中得到全面的保護(hù)，那么我們奉勸您三思而行。專(zhuān)家認(rèn)為，在自動(dòng)化的、按需配置的虛擬計(jì)算環(huán)境中，安全將變得異常復(fù)雜和困難。

    加利福尼亞Palo Alto研究中心（PARC）研究員Dirk Balfanz指出，如果使用了新型數(shù)據(jù)中心，企業(yè)將不再是一個(gè)擁有吊橋和單一入口的堅(jiān)實(shí)城堡，壞人可以自由出入，毫無(wú)限制。企業(yè)網(wǎng)絡(luò)中的每一個(gè)節(jié)點(diǎn)和網(wǎng)絡(luò)上的每一臺(tái)計(jì)算機(jī)都必須安裝安全軟硬件，并且獨(dú)自承擔(dān)防御的職責(zé)。

    紐約SANS學(xué)院的講師Ed Skoudlis指出，復(fù)雜性是安全的大敵。人們對(duì)創(chuàng)新和新功能的不懈追求最終只會(huì)帶來(lái)一大堆難以解決的復(fù)雜問(wèn)題,而這種復(fù)雜性正是滋生錯(cuò)誤的溫床。

    Skoudlis說(shuō)：“無(wú)線(xiàn)網(wǎng)絡(luò)、Web服務(wù)和其他新興的架構(gòu)也對(duì)IT經(jīng)理們提出了新的挑戰(zhàn)。他們將不得不在網(wǎng)絡(luò)中的各層上實(shí)施安全措施。過(guò)去的技術(shù)上有很多的安全層，而在新的架構(gòu)中，這種安全層將會(huì)更多?！?

    PARC的研究人員都認(rèn)同這一觀(guān)點(diǎn)，因此他們一直在研究一些方法，防止用戶(hù)在遇到太多安全層后產(chǎn)生挫折感并最終忽視，甚至破壞安全程序。Balfanz舉例說(shuō)，根據(jù)PARC的研究，要想讓用戶(hù)在筆記本上實(shí)施802.1X安全措施，通常要用去整整兩個(gè)小時(shí)的時(shí)間。他說(shuō)：“如果安全程序太困難，用戶(hù)很可能會(huì)放棄部署它。很多用戶(hù)都沒(méi)有足夠的耐心和毅力，他們會(huì)停止使用網(wǎng)絡(luò)中的安全特性，而網(wǎng)絡(luò)中的數(shù)據(jù)自然也就處于巨大的危險(xiǎn)之中?！?

    PARC的安全研究小組開(kāi)發(fā)出了一種架構(gòu)，能夠消除用戶(hù)的挫折感，并且使IT部門(mén)能夠繼續(xù)實(shí)施更為嚴(yán)格的安全措施。利用這種架構(gòu)，用戶(hù)可以將自己的筆記本通過(guò)紅外線(xiàn)等安全近距離方式連接到一個(gè)“注冊(cè)站”。當(dāng)注冊(cè)站完成驗(yàn)證后，用戶(hù)即可獲得網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)并且開(kāi)始接收數(shù)字證書(shū)，數(shù)字證書(shū)會(huì)在筆記本上自動(dòng)配置網(wǎng)絡(luò)策略設(shè)置。Balfanz說(shuō)，整個(gè)過(guò)程所用的時(shí)間還不到兩分鐘。 

    基于語(yǔ)言的安全技術(shù)

    紐約州Cornell大學(xué)的安全研究人員最關(guān)注的是編程技術(shù)，包括那些創(chuàng)建Web服務(wù)的技術(shù)。Cornell大學(xué)信息保障學(xué)會(huì)主任Fred Schneider說(shuō)：“如果Web服務(wù)在創(chuàng)建時(shí)就存在漏洞，那么當(dāng)Web服務(wù)在網(wǎng)絡(luò)中共享使用時(shí)，這些問(wèn)題便會(huì)以非?？斓乃俣葌鞑ラ_(kāi)來(lái)。如果您只負(fù)責(zé)創(chuàng)建其他的項(xiàng)目，那么您就不一定了解每一個(gè)部分的特性。安全是一個(gè)非常復(fù)雜的問(wèn)題，產(chǎn)品的安全性不是看一看界面就能評(píng)估出來(lái)的?！?

    他的研究小組正在與英特爾公司和美國(guó)海軍研究局合作研究一個(gè)名為“基于語(yǔ)言的安全”的項(xiàng)目。該項(xiàng)目的目標(biāo)是為新興的技術(shù)制訂出一些基本的高安全性原則，例如內(nèi)嵌式參考監(jiān)視器、信息流策略、校驗(yàn)代碼和認(rèn)證編譯器。

    Schneider還倡議使用安全系統(tǒng)語(yǔ)言，其工作方式非常類(lèi)似通用的C語(yǔ)言。他希望將這些實(shí)際的組件引入比較新的應(yīng)用中，例如使Web服務(wù)能夠承受可擴(kuò)展系統(tǒng)生成的錯(cuò)誤。

    安全和隱私

    Ken Klingenstein是Internet2中間件和安全計(jì)劃的主管，他對(duì)于降低復(fù)雜性并不抱什么樂(lè)觀(guān)的態(tài)度。他說(shuō)：“目前短淺的解決方案、深層的漏洞和隨時(shí)間累積起來(lái)的各種復(fù)雜問(wèn)題都不是那么容易解決的，這意味著我們面前還有很多的困難?！?nbsp;

    但是Klingenstein認(rèn)為，在Web上共享資源的方式卻是完全可以改進(jìn)的，而且這種改善并不會(huì)使用戶(hù)的隱私保護(hù)受到任何的不良影響。他說(shuō)：“安全和隱私這兩種看似互不相關(guān)的目標(biāo)完全可以同時(shí)實(shí)現(xiàn)?！?nbsp;

    Internet2創(chuàng)建了一項(xiàng)名為“口令項(xiàng)目”（Shibboleth Project）的計(jì)劃，目的是解決不同企業(yè)間對(duì)簡(jiǎn)單、安全數(shù)據(jù)訪(fǎng)問(wèn)能力的需求?！翱诹钕到y(tǒng)”中包含了一些開(kāi)放源代碼的身份供應(yīng)商和服務(wù)商組件，它使網(wǎng)絡(luò)用戶(hù)能夠在不經(jīng)過(guò)多重注冊(cè)的情況下就對(duì)其企業(yè)內(nèi)部和外部的數(shù)據(jù)實(shí)現(xiàn)訪(fǎng)問(wèn)。而且在這一過(guò)程中，用戶(hù)也不需要提供不必要的個(gè)人信息。 

    Klingenstein說(shuō)：“這一項(xiàng)目的目標(biāo)是讓用戶(hù)只向內(nèi)容供應(yīng)商提供最少的信息，內(nèi)容供應(yīng)商則用這些信息來(lái)確定用戶(hù)是否擁有訪(fǎng)問(wèn)內(nèi)容的資格?！彼€認(rèn)為這種方法可以有效地減少身份盜竊和詐騙等問(wèn)題。 

    通過(guò)使用通用的安全標(biāo)準(zhǔn)，如推進(jìn)結(jié)構(gòu)性信息標(biāo)準(zhǔn)組織（OASIS）的安全聲明標(biāo)識(shí)語(yǔ)言、公共密鑰基礎(chǔ)設(shè)施和X.509，“口令系統(tǒng)”要求內(nèi)容供應(yīng)商使用服務(wù)商的軟件，而加入該網(wǎng)絡(luò)的用戶(hù)也必須使用身份供應(yīng)商的軟件。例如，一位學(xué)者去訪(fǎng)問(wèn)另外一所大學(xué)的資源站點(diǎn)，而且該站點(diǎn)正在運(yùn)行“口令”服務(wù)商的組件。這位學(xué)者將被要求在擁有權(quán)限的機(jī)構(gòu)中進(jìn)行選擇。當(dāng)他選擇自己的大學(xué)時(shí)，瀏覽器會(huì)自動(dòng)將他轉(zhuǎn)帶至自己大學(xué)的登錄頁(yè)面，該頁(yè)面也在運(yùn)行身份供應(yīng)商的軟件。然后，這位學(xué)者就像平常一樣用自己的用戶(hù)名和口令登錄，系統(tǒng)則對(duì)他的身份進(jìn)行驗(yàn)證，通過(guò)驗(yàn)證后，他又會(huì)被帶至目標(biāo)資源站點(diǎn)并在那里獲得自由訪(fǎng)問(wèn)信息的權(quán)限。 

    “口令”目前已經(jīng)在企業(yè)中得到了初步的應(yīng)用。賓西法尼亞州立大學(xué)已經(jīng)對(duì)該系統(tǒng)進(jìn)行了測(cè)試，并允許學(xué)生利用安全的方式訪(fǎng)問(wèn)校內(nèi)的Napster音樂(lè)服務(wù)。同時(shí)，網(wǎng)格計(jì)算界也采納了“口令”，并將其視作一種關(guān)鍵的安全技術(shù)。 

    在另一方面，內(nèi)容供應(yīng)商都非常擔(dān)心數(shù)據(jù)中心的分布式特性—尤其是分離的設(shè)備和不斷增加的企業(yè)伙伴，會(huì)降低其對(duì)數(shù)據(jù)的控制并危及數(shù)據(jù)的安全性和完整性。在如今這個(gè)講求符合性和法規(guī)限制眾多的年代，這種情況無(wú)疑是不可接受的。 

    但是，為了解決這一問(wèn)題，內(nèi)容管理研究人員正在努力開(kāi)發(fā)一種數(shù)字權(quán)利管理平臺(tái)。這種管理平臺(tái)可以對(duì)數(shù)據(jù)提供完善的完全保障，即使數(shù)據(jù)在網(wǎng)絡(luò)的覆蓋范圍之外也能得到保護(hù)。ContentGuard是一家由原PARC研究人員建立的企業(yè)，該公司業(yè)務(wù)開(kāi)發(fā)主管Hari Reddy說(shuō)：“IT企業(yè)應(yīng)當(dāng)了解數(shù)據(jù)是在哪里使用，以及如何使用的。那么，當(dāng)數(shù)據(jù)已經(jīng)離開(kāi)您的安全模式時(shí)，您又如何來(lái)管理數(shù)據(jù)呢？擴(kuò)展型企業(yè)和數(shù)據(jù)共享使數(shù)據(jù)的管理變得異常復(fù)雜，所以解決的辦法是，在某些時(shí)間段上停止已交換數(shù)據(jù)的特定使用方式。” 

    ContentGuard公司目前仍然在開(kāi)發(fā)可擴(kuò)展權(quán)利標(biāo)示語(yǔ)言（Extensible Rights Markup Language，XrML）。這是一種提交給OASIS和其他標(biāo)準(zhǔn)組織的事實(shí)上的工業(yè)標(biāo)準(zhǔn)，是其他任何數(shù)字權(quán)利語(yǔ)言規(guī)格的基礎(chǔ)。XrML可以為數(shù)字內(nèi)容和Web服務(wù)擴(kuò)展出一系列的權(quán)利賦予業(yè)務(wù)模型。它使IT經(jīng)理們能夠?yàn)槟切┓植荚谄髽I(yè)圍墻外的內(nèi)容制訂詳細(xì)的限制規(guī)則，并且使IT經(jīng)理們能夠?qū)?shù)據(jù)和Web服務(wù)的生命周期實(shí)施有效的管理。 

    例如，某家企業(yè)可能制訂一些控制規(guī)則，規(guī)定哪些人可以使用數(shù)據(jù)或Web服務(wù)，哪些人可以分配數(shù)據(jù)。Reddy說(shuō)：“這樣，數(shù)據(jù)的創(chuàng)建者就可以規(guī)定‘Alice有權(quán)查看這些數(shù)據(jù)，但波士頓大學(xué)有權(quán)進(jìn)行數(shù)據(jù)的授權(quán)和分配’?！?nbsp;

    Reddy說(shuō)，XrML是多層分布式架構(gòu)中的一部分，在這種架構(gòu)中必須包含一個(gè)時(shí)間元素，規(guī)定數(shù)據(jù)在多長(zhǎng)的時(shí)間內(nèi)有效。例如，首席財(cái)務(wù)官可以規(guī)定分配的財(cái)務(wù)數(shù)據(jù)在30天內(nèi)有效，而一家廠(chǎng)商也可以規(guī)定自己送出的技術(shù)手冊(cè)在6個(gè)月后自動(dòng)失效。因此，當(dāng)數(shù)據(jù)離開(kāi)其發(fā)源地時(shí)，這種前后關(guān)聯(lián)和控制關(guān)系將是必須的。

    他說(shuō)，有了這種機(jī)制，過(guò)去只管理網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的內(nèi)容存儲(chǔ)部門(mén)也可以在數(shù)據(jù)移動(dòng)的全過(guò)程中對(duì)其施加管理。

    來(lái)源：CCW