自动化的虚拟环境中的安全威胁

申请免费试用、咨询电话：400-8352-114

    如果您认为，利用新型数据中心技术重新构建您的IT基础设施就可以使公司在未来的十年中得到全面的保护，那么我们奉劝您三思而行。专家认为，在自动化的、按需配置的虚拟计算环境中，安全将变得异常复杂和困难。

    加利福尼亚Palo Alto研究中心（PARC）研究员Dirk Balfanz指出，如果使用了新型数据中心，企业将不再是一个拥有吊桥和单一入口的坚实城堡，坏人可以自由出入，毫无限制。企业网络中的每一个节点和网络上的每一台计算机都必须安装安全软硬件，并且独自承担防御的职责。

    纽约SANS学院的讲师Ed Skoudlis指出，复杂性是安全的大敌。人们对创新和新功能的不懈追求最终只会带来一大堆难以解决的复杂问题,而这种复杂性正是滋生错误的温床。

    Skoudlis说：“无线网络、Web服务和其他新兴的架构也对IT经理们提出了新的挑战。他们将不得不在网络中的各层上实施安全措施。过去的技术上有很多的安全层，而在新的架构中，这种安全层将会更多。”

    PARC的研究人员都认同这一观点，因此他们一直在研究一些方法，防止用户在遇到太多安全层后产生挫折感并最终忽视，甚至破坏安全程序。Balfanz举例说，根据PARC的研究，要想让用户在笔记本上实施802.1X安全措施，通常要用去整整两个小时的时间。他说：“如果安全程序太困难，用户很可能会放弃部署它。很多用户都没有足够的耐心和毅力，他们会停止使用网络中的安全特性，而网络中的数据自然也就处于巨大的危险之中。”

    PARC的安全研究小组开发出了一种架构，能够消除用户的挫折感，并且使IT部门能够继续实施更为严格的安全措施。利用这种架构，用户可以将自己的笔记本通过红外线等安全近距离方式连接到一个“注册站”。当注册站完成验证后，用户即可获得网络的访问权并且开始接收数字证书，数字证书会在笔记本上自动配置网络策略设置。Balfanz说，整个过程所用的时间还不到两分钟。 

    基于语言的安全技术

    纽约州Cornell大学的安全研究人员最关注的是编程技术，包括那些创建Web服务的技术。Cornell大学信息保障学会主任Fred Schneider说：“如果Web服务在创建时就存在漏洞，那么当Web服务在网络中共享使用时，这些问题便会以非常快的速度传播开来。如果您只负责创建其他的项目，那么您就不一定了解每一个部分的特性。安全是一个非常复杂的问题，产品的安全性不是看一看界面就能评估出来的。”

    他的研究小组正在与英特尔公司和美国海军研究局合作研究一个名为“基于语言的安全”的项目。该项目的目标是为新兴的技术制订出一些基本的高安全性原则，例如内嵌式参考监视器、信息流策略、校验代码和认证编译器。

    Schneider还倡议使用安全系统语言，其工作方式非常类似通用的C语言。他希望将这些实际的组件引入比较新的应用中，例如使Web服务能够承受可扩展系统生成的错误。

    安全和隐私

    Ken Klingenstein是Internet2中间件和安全计划的主管，他对于降低复杂性并不抱什么乐观的态度。他说：“目前短浅的解决方案、深层的漏洞和随时间累积起来的各种复杂问题都不是那么容易解决的，这意味着我们面前还有很多的困难。” 

    但是Klingenstein认为，在Web上共享资源的方式却是完全可以改进的，而且这种改善并不会使用户的隐私保护受到任何的不良影响。他说：“安全和隐私这两种看似互不相关的目标完全可以同时实现。” 

    Internet2创建了一项名为“口令项目”（Shibboleth Project）的计划，目的是解决不同企业间对简单、安全数据访问能力的需求。“口令系统”中包含了一些开放源代码的身份供应商和服务商组件，它使网络用户能够在不经过多重注册的情况下就对其企业内部和外部的数据实现访问。而且在这一过程中，用户也不需要提供不必要的个人信息。 

    Klingenstein说：“这一项目的目标是让用户只向内容供应商提供最少的信息，内容供应商则用这些信息来确定用户是否拥有访问内容的资格。”他还认为这种方法可以有效地减少身份盗窃和诈骗等问题。 

    通过使用通用的安全标准，如推进结构性信息标准组织（OASIS）的安全声明标识语言、公共密钥基础设施和X.509，“口令系统”要求内容供应商使用服务商的软件，而加入该网络的用户也必须使用身份供应商的软件。例如，一位学者去访问另外一所大学的资源站点，而且该站点正在运行“口令”服务商的组件。这位学者将被要求在拥有权限的机构中进行选择。当他选择自己的大学时，浏览器会自动将他转带至自己大学的登录页面，该页面也在运行身份供应商的软件。然后，这位学者就像平常一样用自己的用户名和口令登录，系统则对他的身份进行验证，通过验证后，他又会被带至目标资源站点并在那里获得自由访问信息的权限。 

    “口令”目前已经在企业中得到了初步的应用。宾西法尼亚州立大学已经对该系统进行了测试，并允许学生利用安全的方式访问校内的Napster音乐服务。同时，网格计算界也采纳了“口令”，并将其视作一种关键的安全技术。 

    在另一方面，内容供应商都非常担心数据中心的分布式特性—尤其是分离的设备和不断增加的企业伙伴，会降低其对数据的控制并危及数据的安全性和完整性。在如今这个讲求符合性和法规限制众多的年代，这种情况无疑是不可接受的。 

    但是，为了解决这一问题，内容管理研究人员正在努力开发一种数字权利管理平台。这种管理平台可以对数据提供完善的完全保障，即使数据在网络的覆盖范围之外也能得到保护。ContentGuard是一家由原PARC研究人员建立的企业，该公司业务开发主管Hari Reddy说：“IT企业应当了解数据是在哪里使用，以及如何使用的。那么，当数据已经离开您的安全模式时，您又如何来管理数据呢？扩展型企业和数据共享使数据的管理变得异常复杂，所以解决的办法是，在某些时间段上停止已交换数据的特定使用方式。” 

    ContentGuard公司目前仍然在开发可扩展权利标示语言（Extensible Rights Markup Language，XrML）。这是一种提交给OASIS和其他标准组织的事实上的工业标准，是其他任何数字权利语言规格的基础。XrML可以为数字内容和Web服务扩展出一系列的权利赋予业务模型。它使IT经理们能够为那些分布在企业围墙外的内容制订详细的限制规则，并且使IT经理们能够对数据和Web服务的生命周期实施有效的管理。 

    例如，某家企业可能制订一些控制规则，规定哪些人可以使用数据或Web服务，哪些人可以分配数据。Reddy说：“这样，数据的创建者就可以规定‘Alice有权查看这些数据，但波士顿大学有权进行数据的授权和分配’。” 

    Reddy说，XrML是多层分布式架构中的一部分，在这种架构中必须包含一个时间元素，规定数据在多长的时间内有效。例如，首席财务官可以规定分配的财务数据在30天内有效，而一家厂商也可以规定自己送出的技术手册在6个月后自动失效。因此，当数据离开其发源地时，这种前后关联和控制关系将是必须的。

    他说，有了这种机制，过去只管理网络内数据的内容存储部门也可以在数据移动的全过程中对其施加管理。

    来源：CCW