摘要:一般人都会认为,私有云是最最安全的云计算模式,因为是由企业自身直接掌控云计算的安全控制运行。通过关注目录变更和数据驻留位置的变化,企业可以解决私有云中一些与虚拟机蔓延现象相关的安全挑战。
较大的挑战来自于减少障碍、创建和改变生产虚拟镜像。让我们来想象一下私有云环境是如何随时间而演变的:员工创建“一次性”镜像以满足关键日期或质保协助的要求,从而导致虚拟机蔓延现象的产生,由于这种半归档虚拟镜像可能会无限期地存在下去,这样就会对安全带来威胁。快速镜像重用也可能导致镜像的不当使用,例如使用开发镜像作为生产应用程序的基线。
现在来看,这些问题也是老生常谈了;在传统物理数据中心世界中,服务器蔓延现象和配置问题都是普遍存在的。所不同的是,私有云中的相关限制已消失不见。而在传统数据中心中,采购硬件的需求还是受到一定限制的或已得到了控制;而在公共云计算中,与企业外部进行交互的需求(或根据镜像支付费用)也延缓了相关扩张速度。在私有云中,还起作用的限制因素就是存储和处理能力,这是一个近乎没有上限的上限。
预防这些问题通常是呼吁企业的自律。但是,对于那些深刻理解“没有任何一个 预防措施是100%有效”这句话的安全企业来说,检测和预防具有同等的重要意义。让我们来看看这些企业是如何通过检测不当配置或“恶意”镜像以及镜像不当使用来控制虚拟机蔓延现象的。
查找恶意镜像
在任何虚拟化部署中,镜像都如同雨后春笋般迅速出现,但一般来说还是处于受控和合法的状态。企业的目标不仅仅是识别是否有变化;它将通过定义合理的变化应该是什么并将其作为比较标准来识别那些不当变化。
现在,很容易得到镜像的列表——市场上的每个管理程序都默认提供该功能。而最困难的一部分是“了解那里合理的变化是什么”。因为有了明确何为标准的需要,所以使用普通管理程序的详细目录功能将变得极具挑战性。你需要了解比现有镜像更多的信息;为了找到恶意镜像,你需要了解现有镜像应该是什么样的,同时你需要了解这些镜像是如何进行配置的。
有一些适用于这类应用的策略,但其中最有效的是结合发现功能和执行资产管理与库存跟踪的工具。如果你已经拥有一些实现类似功能的工具(变化源于你从传统数据中心所作的迁移工作),较好利用这些工具,诸如IBM Tivoli和SolarWinds Orion之类的现有库存/发现软件。
但是,既然推动云计算部署实施的一般原因都是节省成本,那么也就无法保证你能够顺利完成那些商业工具的采购任务,因此选择若干个免费替代工具是非常有必要的。Spiceworks免费、易于使用,且具有发现网络(内置)和虚拟镜像(通过工具实现)的能力。请注意,发现网络只是找到可用、有响应的主机,所以你还可能需要使用两套发现功能的工具。
开源软件FusionInventory也同样是免费的(但是需要花功夫进行配置和使用),该软件包括了SNMP、NetBIOS和IP搜索功能(即寻找“活的”镜像),同时还通过代理和扩展为虚拟机提供了数据。配置FusionInventory将是一项极具挑战性的工作,但是它提供了一个预配置的虚拟设备,它将有助于进行现场配置和运行(虽然并不推荐它作为生产部署)。
查找不当使用
查找恶意镜像和不当配置镜像是很重要的,但是当对特定类型进行适当配置镜像(例如“QA WebLogic服务器)被用于全部各种目的而不是原定目的(如”生产支付应用程序)时,将会发生什么情况?
从历史经验来看,这个问题是很难解决。很多人都在关注管理程序软件领域的演变——例如VMware的vShield App5的预防数据丢失功能,该功能可确保搜索恶意数据更易于管理,但由于a)花费大量金钱,b)对我们大多数人来说是“未来状态”,其责任在于在短期时间内同时查找和控制数据。一个策略是防止数据丢失(DLP)。
以前已经有大量的文章介绍了云计算迁移之前和迁移期间的DLP,但是我这里介绍的的DLP是在镜像上的情况(在云计算迁移之后),即在测试/开发镜像上寻找生产数据的临时权宜之计。你可以通过集成DLP代理和测试与开发基线镜像来做到这一点。如果你已拥有了DLP,你可以直接使用;如果你没有,可以使用诸如OpenDLP或MyDLP之类的免费替代工具来监控入站和出站数据流,如信用卡号、社会安全号、以及定制用户提供的正规表示。这两个软件都有可用于设置和快速投产的虚拟设备。
通过关注目录变更和数据驻留位置的变化,企业可以解决私有云中一些与虚拟机蔓延现象相关的安全挑战。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/3560.html
摘要:高度可用的数据库云计算时代的高可用数据库是可扩展容错且与任何私有云或公共云兼容的数据库实例。现在是企业通过采用云计算解决方案运行现代数据库来获得竞争优势的时候了。公共云和私有云使企业能够摆脱容易出错的传统架构,并运行具有可靠性为5个9和6个9的应用程序。业务应用程序可以按需、即时且经济高效地进行调整。数据库应用程序一直是所有企业基础设施的主要组成部分,但这些应用程序(特别是关系数据库)在使用...
摘要:事实上,云计算应用的快速增长正在彻底改变全球市场和基础设施的发展趋势。在调查中,只有的受访者认为自己最终对云计算服务中存储的数据的合规性负责。云计算服务提供商的服务级别协议不包括数据保护。如今,只要人们了解一下云计算市场,可以看到其发展非常健康。事实上,云计算应用的快速增长正在彻底改变全球市场和IT基础设施的发展趋势。云计算正在改变人们在企业所有职能上的工作方式。从公司办公室到工厂车间,从分...
摘要:私有云包含许多与企业数据中心相同的设备,并在其上运行云计算基础设施。这些改进是实质性的,但它们仍然无法与私有云和公共云混合环境中的可能性相匹配。混合云模型作为一种过渡阶段,为未来更加完整的云计算采用之旅奠定了基础,可以节省更多的成本。如今,人们听到很多关于私有云的讨论,这是企业云部署之旅的第一步。这可能是一个良好的开端,但如果不为混合解决方案添加公共云固有的多路复用效率,共享基础设施的成本优...
摘要:更好的一方面是,对于已经拥有私有数据中心软件许可证的大型企业,微软允许他们自带许可证,从而将这些许可证快速轻松地扩展到公共云。如今,很多科技新闻都会提到云计算这个术语:企业正在将其业务迁移到云平台,一切都存储在云中,企业需要保护自己的云平台等等。商业领袖们意识到了过去几年发生的巨大转变,但许多人不知道如何解决或利用它来提高生产力。Microsoft Azure和AWS云平台已经占据了全球公共...
摘要:解决云扩张将安全最佳实践与业务基础相结合,云采用率非常显著。除了直接与业务决策者合作之外,还有一系列组织需要落实的解决方案,以控制云计算产生的安全问题。部署解决方案云访问安全代理提供可见性合规性数据安全和威胁保护。解决云扩张:将安全最佳实践与业务基础相结合,云采用率非常显著。今年,90%的企业将有部分应用程序或基础设施在云端运行,其余的企业预计将在2021年前效仿。虽然大多数组织目前在传统网...
阅读 3391·2021-09-22 15:17
阅读 2738·2021-09-02 15:15
阅读 1747·2019-08-30 15:54
阅读 1999·2019-08-30 14:02
阅读 2529·2019-08-29 16:58
阅读 2986·2019-08-29 16:08
阅读 1329·2019-08-26 12:24
阅读 1651·2019-08-26 10:41