服務器虛擬化是否值得?

與傳統的服務器相比，虛擬服務器因其在硬件整合上的成本優勢和靈活操作性廣受矚目。但是也有可能出現安全空缺和虛擬服務器的蔓延。

一位來自PCI標準的高級專家說，虛擬安全往往是事后諸葛亮。諸如怎么樣處理訪問控制和審計?譬如一個人想把虛擬機器中的一個食物從通道A轉到通道B：這時候是否需要獲得進入控制臺的許可證?虛擬機器的系統管理程序是否允許管理員A和B的分離，這樣A和B只能各司其職?怎么樣根據架構的變化重新評估風險等級?

相關內容：

與其它傳統的網絡類似，各種虛擬網絡環境，不管是基于虛擬軟件，XenSource，或是微軟技術，都需要滿足ISO 27002標準對于安全系統的要求。專家注意到有一些虛擬機器根本就不滿足這一標準。

很多人對虛擬軟件的安全都不信賴。

“虛擬機器是移動的，設計的初衷就是這樣，”一家專注于虛擬機器生命周期管理軟件公司的營銷副總說，“購買一臺實體服務器，然后克隆一下。你失去了實體服務器的身份，但是現行的管理軟件依據的還是實體服務器。”

照現在的設計來看，虛擬機器軟件的虛擬中心管理并不能阻止虛擬機器的蔓延，因為虛擬機器的身份可以隨時改變和重設。對于那些使用多臺虛擬中心的企業來說，要保證唯一的虛擬機身份系統是不可能的。

一些安全廠商坦誠，現在主要的虛擬機器軟件廠商過分的關注市場份額的增長，卻忽略了安全問題。專家說，現在市面上還沒有任何一款虛擬化開關可以幫助監控網絡流量的異常情況。

所有這些會阻止當前的虛擬化浪潮嗎?正如業內人士所述，底線就是在選擇之前好好研究一下虛擬化決定是否值得.

防止數據泄漏是否會導致法律問題?

數據流失保護(DLP)可以幫助監視未經許可的文件傳輸。但是使用這一技術的企業發現，由于對于企業網絡的過度透明，企業的IT管理人員和經理發現他們處于法律和監管的風險之下。

一家公司的安全主管形容，“最初我們是從忽略慢慢轉向了順從的危險”。自從公司部署了賽門鐵克的DLP之后，公司在數據存儲的很多方面都得到了大大的提升。

這些都促使商業和IT管理的變革。一些安全管理人員發現一些挑剔的安全審計人員，一旦他們知道DLP工具在哪,就會要求企業改變那些可能會觸犯法律的安全措施。

相關內容：

這只是眼見為實的一個方面――DLP昂貴的花費之外――而著就足以打消潛在的客戶?但是這也意味著遠離最具潛力的內容監測技術，這可能會幫助你的企業遠離訴訟。

事先知道DLP可能是有缺陷的技術，安全人員可以事先準備好應急預案，應對審計人員和司法部門的檢查。

一位有著豐富DLP經驗的工程師說，我們應該讓企業管理人員積極參與到DLP系統中，這樣可以有效的防止數據泄露。

模糊的(in-the-cloud)安全：虛幻還是危險?

一位嘉德樂的安全專家說，關于這些的基本事情――不管是電子郵件，DOS保護，漏洞掃描或是網絡過濾――這些實際上都是在購買軟件或是設備時DIY策略的替代。

有兩種類型的安全訪服務值得思考，第一種是基于帶寬的，譬如基于載波或是ISP(因特網服務提供商)的DOS保護和回應。

第二種就是稱之為“作為服務的安全”，這與基于帶寬的服務完全不同。使用反垃圾郵件服務就是把多重地址記錄返回給服務提供商并不是把特定的帶寬與謀個載波綁定。

這種類型的技術包括，垃圾郵件和殺毒軟件過濾;漏洞掃描和網絡過濾。大體上來說，不包括DLP內容監測和過濾或是身份訪問和管理，這些都是與企業內部管理變化聯系的。

使用安全作為服務(security-as-a service)在保護筆記本或是對廣泛分布的辦公室的保護上是很有效的。對于跨國企業來說，這是很有吸引力的。

但是絕大多數的企業發現部署更適合自身企業的安全來應對垃圾郵件，病毒和限制網絡連接更加簡潔劃算。

使用過濾服務存在潛在的風險。你可能不想使用這種第三方的服務來傳輸敏感商業文件。這樣很容易導致泄密事件。

所有這些模糊安全服務任然很新穎，過去三年增長了不少，譬如MessageLabs(信息實驗室)，微軟，谷歌的Postini 和 Websense就已經在市面上出現，根據高德納咨詢公司的估計，in-the-cloud 電子郵件安全服務目前站的市場份額大概是20%，在未來的5年之內將會以每年35%的速度增長，2013年將占70%。

據IDC調查，去年電子郵件安全軟件的市場份額是13.8億美元，相關的應用程序接近七億美元。In-the-cloud服務的價值約4.5億美元。軟件和應用程序將會持續增長。

網頁過濾的發展實際上只是過去16個月的事情，還有許多類似的服務的發展也只是幾年的時間而已。由于企業網絡中正在消失的邊界正使得模糊安全服務為越來越多的企業所采用。

微軟可以在安全方面做的更好嗎?

在面對安全問題的時候，微軟會贏得尊重嗎?

即使是蓋茨也難以回答這一問題。人難免會犯錯誤，微軟現在之所以在安全上成為其軟肋，就是因為微軟在開發軟件之初就天真的以為世界上都是好人，數據中心也經常遭人攻擊。

十多年之前的包袱至今還是壓在微軟身上。即使是在今天，25年之前的設計還是陰魂不散，Vista不是一個新的操作系統，在vista 的名號掩蓋之下實際上有很多老式的設計，這些都是為了保護系統的兼容性。

微軟現在出于一個兩難的境地。如果微軟真的是想從頭開始設計的話，很可能就要犧牲金錢上的收益，這是微軟不愿意做的。

幾年以前，微軟曾經試著去與過去的設計做一個了斷，計劃叫做“下一代安全計算基礎”(NGSCB)計劃，但是最后還是不了了之。

有分析人士認為，微軟實際上還是在走老路，這樣就能保證其在市場上的龍頭地位。有一位專家說，如果他是蓋茨的話，就會與過去做一個了斷，開發一個與過去完全不同的系統。

在其它方面，微軟微軟開發了一套身份策略系統，但是這只是以Windows為中心的方法。他們從不嘗試其它的操作平臺。由于微軟始終不接受SAML標準，這是一個很大的錯誤，不利于這一個行業的長遠發展。

Linux, Unix 和Macintosh操作系統使用了比微軟操作系統更安全的設計。但是Vista和XP2在安全上還是有所提高。

實際上，微軟在安全問題上已有一點臭名昭著，小的改變不足以改變其形象。微軟有很多天才身份認證專家，但是他們的意見很少被微軟采納，很可能是被壓制了。一些與微軟系統相兼容的第三方安全軟件提供商也一直在努力。

在微軟的一些部門中，譬如管理CRM或辦公產品的部門，他們根本未與第三方安全軟件廠商合作，但是它們的核心操作系統卻更加開放。但是與微軟合作最煩人的就是你可能需要獲得官方的認證，但是微軟并沒有更新其技術文件。

有專家說，微軟很多操作系統根本就沒有記錄，因為操作系統不斷發布新的版本的升級，沒有人能夠把這些都記錄下來。譬如微軟改變周二發布補丁的慣例，然后數據連接程序庫也被改變，但是這并不會改變文件記錄，但是程序卻不能運行了。我們不得不研究這些變化。

在過去的幾年，并沒有大規模的蠕蟲攻擊，譬如Code Red, Blaster 和 Nimbda，微軟的漏洞造成全球性的恐慌。現在黑客把攻擊的重點轉向了第三方網絡插件。因為過去黑客找到微軟的漏洞很簡單，但是隨著微軟產品的不斷改進，微軟現在有專業人士在查找這些漏洞。

NAC(網絡訪問控制)：防火墻還夠用嗎?

并不是每個人都需要NAC，但是對于控制個人的網絡訪問還是很有效的工具。

NAC對于那些需要監管的行業是很有效的。NAC對外界的訪問終端進行綜合的檢查，可以幫助管理人員在合法的終端上執行企業的安全政策。

絕大多數的NAC平臺不僅僅起這點作用，還有記錄這些表現，這些記錄可能在支付卡行業(PCI)和：健康保險攜帶和責任法案(HIPAA)中需要。

根據Gartner的調查，NAC在掃描用戶的問題上表現優異。絕大多數Gartner在部署客戶網絡的時候都將NAC作為優先考慮。2007年，很多安全管理人員將NAC視為一種戰略性的安全過程，它可以為客戶網絡帶來很大的好處。

如果企業中的員工復雜，既有全職員工，合同工，還有經常訪問網絡的客戶，NAC可以保證他們使用的設備符合配置標準。對于不滿足條件的機器，NAC既可以修復他們，或是隔離，或是訪問限定的資源就不至于造成很大的損害。

類似的，如果企業的各個部門的網絡需要隔離，就可以使用NAC中的不同層級的授權控制。

如果企業根據兼容要求，不同類型的工作人員，和全球戰略的不同使用NAC，我們將會掀起一場新的變革。

不久，NAC將成為多層安全架構中不可或缺的部分，對于防火墻的依賴將減小。而是根據安全層級的不同尋求解決威脅的辦法。NAC不一定是必須的，但是將會成為新的安全架構的關鍵部件。

如果沒有NAC，很多網絡就像沒有設防一樣。這一技術將會降低受到威脅的機器訪問網絡造成危害的可能性。但是并不能完全保證安全。NAC可以處理傳統的防火墻不能應對的威脅，盡管NAC也有不能處理的問題，但是可以做出應有的貢獻。

捫心自問;防火墻真的夠了嗎?如果你的答案是肯定的，那么NAC絕對是多于的。它提供的只是額外的主機完整性檢查，但是對于目前的防火墻中的授權和認證沒什么價值。

IT能夠解決補丁管理嗎?

補丁和漏洞管理工具更像是在一個靜態的，控制的環境中保護受威脅的計算機。在IT部門經理人的眼中，這是他們優先考慮的技術區域，他們把更多的精力放在漏洞掃描，補丁測試和軟件分布過程。

根據企業管理聯盟(EMA)對250名IT經理的調查，超過四分之三(76%)的企業有自己的補丁管理產品，并且認為補丁策略是保證企業安全的重要方法。相關行業報告表明，補丁產品近年下降了。觀察人士認為這是反映了市場補丁產品和IT管理上的成熟。

相關廠商說，在哪些需要補丁上沒有什么改變，但是那些遠程用戶卻很難及時獲得補丁。有些廠商的對應策略就是使用虛擬個網絡(VPN)來實現補丁，但是更新不定時。

有些企業的補丁策略很成熟，但是廠商往往在發布補丁的時候會進行事前的測試，這會減弱企業的補丁策略。

企業抱怨說，廠商應該在補丁發布之前就應該在內部測試完畢。相比微軟等閉源企業來說，這對于開源技術更加簡單。

盡管行業觀察人士指出了現行的補丁策略的很多問題，補丁更多需要考慮的是用戶的使用環境。他們警告說，盡管現在的補丁管理技術很成熟，因為環境升級為虛擬化和復雜的應用程序結構，補丁策略還需要繼續向前發展。開發商還需要把虛擬化技術等加入工具中更好的幫助用戶下載補丁。

EMA的一位專家說，這是一種相對成熟的技術，但是并不是說我們完全了解了它。譬如說，我們還不是很了解在虛擬環境中的補丁;服務器和臺式機的虛擬化正在拋棄過往的補丁規則。這位專家還說，虛擬化不僅帶來了復雜，還有就是在同一時間對增加的指數級的電腦添加補丁。這可能會導致IT經理加速補丁測試，這就可能導致配置上的沖突。測試是補丁的關鍵，但是隨著零天攻擊的增多和虛擬機器的大量出現，保護網絡環境顯得更加復雜了。

增加了獨立的補丁，補丁可能會演變成IT經理新的挑戰。隨著網絡環境變得更加復雜和廠商分布補丁數量的增多，測試的層級和補丁的發布將會與過往很不同，這對于IT經理來說是一個挑戰。

我們現在需要努力的就是從傳統的先后補丁順序轉向多個廠商，因為所有的結構層級――硬件，操作系統是實體，虛擬化軟件和虛擬化機器――那么在選擇下載補丁時的順序是怎么樣才是最好呢?