一般人都會(huì)認(rèn)為，私有云是最最安全的云計(jì)算模式，因?yàn)槭怯善髽I(yè)自身直接掌控云計(jì)算的安全控制運(yùn)行。但是，如同眾多理論或產(chǎn)品原型一樣，其在現(xiàn)實(shí)世界中所面臨實(shí)際問(wèn)題的復(fù)雜性往往是難以預(yù)料的，也就是說(shuō)新事物在帶來(lái)利益的同時(shí)也對(duì)我們提出了安全性新命題的挑戰(zhàn)。

最大的挑戰(zhàn)來(lái)自于減少障礙、創(chuàng)建和改變生產(chǎn)虛擬鏡像。讓我們來(lái)想象一下私有云環(huán)境是如何隨時(shí)間而演變的：?jiǎn)T工創(chuàng)建“一次性”鏡像以滿足關(guān)鍵日期或質(zhì)保協(xié)助的要求，從而導(dǎo)致虛擬機(jī)蔓延現(xiàn)象的產(chǎn)生，由于這種半歸檔虛擬鏡像可能會(huì)無(wú)限期地存在下去，這樣就會(huì)對(duì)安全帶來(lái)威脅�？焖夔R像重用也可能導(dǎo)致鏡像的不當(dāng)使用，例如使用開發(fā)鏡像作為生產(chǎn)應(yīng)用程序的基線。

現(xiàn)在來(lái)看，這些問(wèn)題也是老生常談了;在傳統(tǒng)物理數(shù)據(jù)中心世界中，服務(wù)器蔓延現(xiàn)象和配置問(wèn)題都是普遍存在的。所不同的是，私有云中的相關(guān)限制已消失不見。而在傳統(tǒng)數(shù)據(jù)中心中，采購(gòu)硬件的需求還是受到一定限制的或已得到了控制;而在公共云計(jì)算中，與企業(yè)外部進(jìn)行交互的需求(或根據(jù)鏡像支付費(fèi)用)也延緩了相關(guān)擴(kuò)張速度。在私有云中，唯一還起作用的限制因素就是存儲(chǔ)和處理能力，這是一個(gè)近乎沒(méi)有上限的上限。

預(yù)防這些問(wèn)題通常是呼吁企業(yè)的自律。但是，對(duì)于那些深刻理解“沒(méi)有任何一個(gè) 預(yù)防措施是100%有效”這句話的安全企業(yè)來(lái)說(shuō)，檢測(cè)和預(yù)防具有同等的重要意義。讓我們來(lái)看看這些企業(yè)是如何通過(guò)檢測(cè)不當(dāng)配置或“惡意”鏡像以及鏡像不當(dāng)使用來(lái)控制虛擬機(jī)蔓延現(xiàn)象的。

查找惡意鏡像

在任何虛擬化部署中，鏡像都如同雨后春筍般迅速出現(xiàn)，但一般來(lái)說(shuō)還是處于受控和合法的狀態(tài)。企業(yè)的目標(biāo)不僅僅是識(shí)別是否有變化;它將通過(guò)定義合理的變化應(yīng)該是什么并將其作為比較標(biāo)準(zhǔn)來(lái)識(shí)別那些不當(dāng)變化。

現(xiàn)在，很容易得到鏡像的列表——市場(chǎng)上的每個(gè)管理程序都默認(rèn)提供該功能。而最困難的一部分是“了解那里合理的變化是什么”。因?yàn)橛辛嗣鞔_何為標(biāo)準(zhǔn)的需要，所以使用普通管理程序的詳細(xì)目錄功能將變得極具挑戰(zhàn)性。你需要了解比現(xiàn)有鏡像更多的信息;為了找到惡意鏡像，你需要了解現(xiàn)有鏡像應(yīng)該是什么樣的，同時(shí)你需要了解這些鏡像是如何進(jìn)行配置的。

有一些適用于這類應(yīng)用的策略，但其中最有效的是結(jié)合發(fā)現(xiàn)功能和執(zhí)行資產(chǎn)管理與庫(kù)存跟蹤的工具。如果你已經(jīng)擁有一些實(shí)現(xiàn)類似功能的工具(變化源于你從傳統(tǒng)數(shù)據(jù)中心所作的遷移工作)，最好利用這些工具，諸如IBM Tivoli和SolarWinds Orion之類的現(xiàn)有庫(kù)存/發(fā)現(xiàn)軟件。

但是，既然推動(dòng)云計(jì)算部署實(shí)施的一般原因都是節(jié)省成本，那么也就無(wú)法保證你能夠順利完成那些商業(yè)工具的采購(gòu)任務(wù)，因此選擇若干個(gè)免費(fèi)替代工具是非常有必要的。Spiceworks免費(fèi)、易于使用，且具有發(fā)現(xiàn)網(wǎng)絡(luò)(內(nèi)置)和虛擬鏡像(通過(guò)工具實(shí)現(xiàn))的能力。請(qǐng)注意，發(fā)現(xiàn)網(wǎng)絡(luò)只是找到可用、有響應(yīng)的主機(jī)，所以你還可能需要使用兩套發(fā)現(xiàn)功能的工具。

開源軟件FusionInventory也同樣是免費(fèi)的(但是需要花功夫進(jìn)行配置和使用)，該軟件包括了SNMP、NetBIOS和IP搜索功能(即尋找“活的”鏡像)，同時(shí)還通過(guò)代理和擴(kuò)展為虛擬機(jī)提供了數(shù)據(jù)。配置FusionInventory將是一項(xiàng)極具挑戰(zhàn)性的工作，但是它提供了一個(gè)預(yù)配置的虛擬設(shè)備，它將有助于進(jìn)行現(xiàn)場(chǎng)配置和運(yùn)行(雖然并不推薦它作為生產(chǎn)部署)。

查找不當(dāng)使用

查找惡意鏡像和不當(dāng)配置鏡像是很重要的，但是當(dāng)對(duì)特定類型進(jìn)行適當(dāng)配置鏡像(例如“QA WebLogic服務(wù)器)被用于全部各種目的而不是原定目的(如”生產(chǎn)支付應(yīng)用程序)時(shí)，將會(huì)發(fā)生什么情況?

從歷史經(jīng)驗(yàn)來(lái)看，這個(gè)問(wèn)題是很難解決。很多人都在管理程序軟件領(lǐng)域的演變——例如VMware的vShield App5的預(yù)防數(shù)據(jù)丟失功能，該功能可確保搜索惡意數(shù)據(jù)更易于管理，但由于a)花費(fèi)大量金錢，b)對(duì)我們大多數(shù)人來(lái)說(shuō)是“未來(lái)狀態(tài)”，其責(zé)任在于在短期時(shí)間內(nèi)同時(shí)查找和控制數(shù)據(jù)。一個(gè)策略是防止數(shù)據(jù)丟失(DLP)。

以前已經(jīng)有大量的文章介紹了云計(jì)算遷移之前和遷移期間的DLP，但是我這里介紹的的DLP是在鏡像上的情況(在云計(jì)算遷移之后)，即在測(cè)試/開發(fā)鏡像上尋找生產(chǎn)數(shù)據(jù)的臨時(shí)權(quán)宜之計(jì)。你可以通過(guò)集成DLP代理和測(cè)試與開發(fā)基線鏡像來(lái)做到這一點(diǎn)。如果你已擁有了DLP，你可以直接使用;如果你沒(méi)有，可以使用諸如OpenDLP或MyDLP之類的免費(fèi)替代工具來(lái)監(jiān)控入站和出站數(shù)據(jù)流，如信用卡號(hào)、社會(huì)安全號(hào)、以及定制用戶提供的正規(guī)表示。這兩個(gè)軟件都有可用于設(shè)置和快速投產(chǎn)的虛擬設(shè)備。

通過(guò)目錄變更和數(shù)據(jù)駐留位置的變化，企業(yè)可以解決私有云中一些與虛擬機(jī)蔓延現(xiàn)象相關(guān)的安全挑戰(zhàn)。

在不久的將來(lái)，云計(jì)算一定會(huì)徹底走入我們的生活，有興趣入行未來(lái)前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時(shí)獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識(shí)，讓我們一起攜手，引領(lǐng)人工智能的未來(lái)！

標(biāo)簽： 安全 大數(shù)據(jù) 服務(wù)器 搜索 網(wǎng)絡(luò) 云計(jì)算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。