2008年(8065)
分类: 服务器与存储
2008-12-12 15:11:00
问:你认为2009年最大的虚拟化安全漏洞在哪里?
Hoff:遗憾的是,最大的安全漏洞仍是一个模糊不清问题。当你考察人们如何想象虚拟化和虚拟化的含义的时候,虚拟化的定义是非常窄的:虚拟化就是服务器整合,虚拟化你的应用程序和,把一些东西都整合到较少的服务器上。或者说虚拟化就是客户端台式电脑、存储、网络和安全等其它许多因素。根据你的身份和所处的地方不同,虚拟化对于不同的人意味着不同的事情。然后,云计算的概念又给你增加了混乱。云计算是微软和许多小的新兴企业推崇的概念。作为一家企业,你不知道云计算对于你意味着什么。它对你的基础设施有什么影响?这是非常困惑的。
问:这种困惑会造成更大的安全危险吗?
Hoff:肯定是如此。你确实应该把虚拟化的讨论分为三个部分:第一,讨论保证虚拟化安全的问题。一旦你拥有多个虚拟化平台,你必须要查看它会对你的基础设施和人员、流程做什么以及如何保证它的安全。第二,必须要讨论虚拟的安全。第一是保证虚拟化的安全,第二是虚拟的安全,理解对人员、流程和架构的影响。我如何利用我现在拥有的东西,使用什么能发挥作用,使用什么有意义,然后理解我现有的厂商和正在考察的厂商的安全状况。第三件事是通过虚拟化最终实现安全,也就是利用虚拟化实际上实现更好的安全。如果你把这个讨论分成这三个部分,你就会取得更好的效果。所有这些讨论都要通过这个业务是什么和最大的风险在什么地方这些原则来进行。除非你理解所有这些事情,否则,这是很痛苦的。
问:IT厂商在提供有关这个问题的指南方面做得如何?
Hoff:他们做得很糟糕。从营销的角度看,第一个机会是创造一些流行词,然后推销新的技术。在安全技术成为集成的技术而不是附加的技术之前,厂商要尽最大努力利用自己拥有的技术并且声称这些技术是相关的。从领导者的角度看,你要从一个极端到另一个极端考察虚拟化厂商,你应该信任这个平台,它是最安全的等等。这些解决方案应该是简单的,因为它越复杂就越难围绕它制定全面的指南。这个解决方案包含的内容远远超过了附加的技术。
问:你最近在博客中告诉人们不要谈保证“云”安全的问题,因为根本就没有“云”安全这种事。你能把这个要点在这里重复一下吗?
Hoff:这种对“云”这个无形的东西的滥用已经很快达到了愚蠢的程度。没有一个唯一的特性能够解释为“云”。有许多的“云”,它们不是统一的。它们本身在应用层都不兼容,它们在自己的平台和操作中都是专有的。它们都不是“公开”的,大多数都不能以任何方式相互交换数据。这个概念就是我们把我们的内容放在其他人的基础设施中的一些通用的库中。我们能停止推销这些无聊的概念吗?基础设施巨头都说自己的技术代表虚拟数据中心操作系统,从而使这个问题更加模糊不清。微软、Citrix、VMware和思科都用不同的词汇说同样的事情。他们每一个公司都声称自己拥有“云”运行的平台/操作系统。他们没有一个拥有保证自己的vDCOS安全的一致的模式,因此不要说我们如何保证它的安全。云计算是真实的。“云”呢?就没有那样真实了。
问:你认为明年会出现某些方面的改善吗,有一个或者更多的潜在发展使我们在虚拟化方面走上正确的道路?
Hoff:肯定有。在安全领,一些安全领域的知名厂商将重新制作自己的应用程序以便利用VMware公司的vNetwork/VMsafe应用程序编程接口。Check Point、赛门铁克、McAfee、等安全厂商都在研究更紧密的和更好的整合。最近的一个整合的例子是VMware收购了Blue Lane技术公司。这家公司是保护物理和逻辑基础设施的安全解决方案厂商,产品包括ServerShield和VirtualShield。VMware将把重点集中在后一种产品上,以提供熟悉应用程序的防火墙,虚拟机之间流动的可见性和分析,应用程序政策控制和入侵防御功能。与VMware公司的vNetwork/VMsafe应用程序编程接口本地提供的入侵检查功能结合在一起,与Blue Lane的解决方案的整合将为这个平台本身增加基本功能,让用户更灵活地建造更安全的虚拟化的操作环境。我认为,这是一个很好的举措,因为这个途径不仅能够使基本的虚拟化平台更安全,而且使这个平台上的组件也同样安全。