在虛擬數(shù)據(jù)中心使用新的IT安全策略

虛擬化提供了很多優(yōu)勢，但是也帶來了新的安全挑戰(zhàn)。如果組織沒有針對虛擬化環(huán)境及時更新IT安全策略，將會錯過潛在的提高效率的機(jī)會，并且使自己處于容易被攻擊的位置。在之前的問答題集合中，就VMware安全更新問題，專家進(jìn)行了討論。在這個問題集中，我們將會采用一種更為寬泛的方式，討論組織應(yīng)該如何在IT虛擬化環(huán)境中應(yīng)用IT安全策略。

你認(rèn)為在虛擬化環(huán)境中最大的安全挑戰(zhàn)是什么?這些挑戰(zhàn)是否隨著時間增長而發(fā)生變化?

專家：虛擬安全——這是一個矛盾的環(huán)，就像“軍事情報”和“中肯意見”一樣。這真的是安全問題嗎?或者只是一個無中生有的討論。

很多業(yè)內(nèi)專家對于這種特殊的邏輯安全管理問題都給出了相關(guān)建議。但是，這些方式在物理環(huán)境中也同樣有效。需要注意的一點是我所說的物理環(huán)境是指安裝在裸機(jī)上，而不是指任何其他具體的東西。

所有這一切說明，我感覺虛擬環(huán)境中最大的安全挑戰(zhàn)并不是技術(shù)相關(guān)的部分，而是現(xiàn)有的安全策略，具體來說，就是用于保護(hù)這些策略并且強(qiáng)制執(zhí)行的部分。

安全策略及其執(zhí)行過程已經(jīng)落后于技術(shù)的發(fā)展。大多數(shù)情況下，大多數(shù)安全專家還只是專注于物理基礎(chǔ)設(shè)施環(huán)境，但是其中的一些策略是和虛擬環(huán)境相對立的。比如不同安全區(qū)域間“whitespace”這樣的概念會迫使虛擬架構(gòu)針對不同的區(qū)域建立單獨的環(huán)境，這樣會妨礙數(shù)據(jù)中心的整個進(jìn)度。

現(xiàn)在我們擁有了技術(shù)。但是不幸的是，安全管理員和IT安全策略仍然停留在很久之前的水平。

進(jìn)行常規(guī)維護(hù)和更新安全策略有多么重要?如果沒有正式的維護(hù)計劃會出現(xiàn)哪些問題?

專家：公司的安全策略應(yīng)該是工作的出發(fā)點。它應(yīng)該成為你的工作框架;將其做作為實驗的樣品。大多數(shù)情況下，公司的安全策略都過于死板，使其成為了一根束縛發(fā)展的繩子，而不是用于指導(dǎo)的原則。當(dāng)嘗試引入新的技術(shù)時很容易導(dǎo)致一些問題，最顯而易見的就是可能與現(xiàn)有的策略相沖突。軟件防火墻就是很明顯的例子之一。它和硬件防火墻具有完全相同的功能，但是傳統(tǒng)的IT安全專家并不喜歡使用它們。安全專家會懷疑如果軟件防火墻不能提供物理隔離功能，怎么能提供和硬件防火墻同樣的防護(hù)效果。而事實是物理防火墻可以使用硬件，但是它們?nèi)耘f需要通過軟件方式來隔離流量，通過虛擬的本地區(qū)域網(wǎng)絡(luò)和流量控制來實現(xiàn)功能。更為重要的是，硬件防火墻使用的方式和軟件防火墻完全相同。

確保對環(huán)境進(jìn)行日常檢查和維護(hù)更加重要。常規(guī)的周期性補(bǔ)丁和安全檢查比陳舊的安全策略能夠更好地保護(hù)環(huán)境安全。

組織是否需要書面的IT安全策略?應(yīng)該如何來設(shè)計這種策略?

專家：互聯(lián)網(wǎng)上有很多網(wǎng)站都可以幫助和指導(dǎo)公司來制定安全策略。如果你想要了解如何制定安全策略，可以網(wǎng)上進(jìn)行搜索，你將會發(fā)現(xiàn)很多相關(guān)的內(nèi)容。而我所關(guān)注的是另外一個重要問題：為什么要創(chuàng)建安全策略?

公司是否需要書面的安全策略是一個有趣的問題。如果使用的人認(rèn)為書面規(guī)定會對他們造成麻煩，他們就幾乎肯定會繞過或者忽略這些策略。拿密碼策略來說，一個簡單的字符串或者令人印象深刻的詞相比于一個最少需要8個字母的策略(必須包含數(shù)字、大寫字母和其他符號)更加安全。而一個明顯的事實是復(fù)雜的密碼會導(dǎo)致用戶將這些密碼記在紙上。如果擁有密碼重置策略，需要每隔一段時間就更換新的密碼，那么情況會變得更加復(fù)雜。

這樣的問題會引起安全策略需求方面的問題。所以應(yīng)該怎樣準(zhǔn)備地發(fā)現(xiàn)制定安全策略過程中的問題呢?首先，需要設(shè)定原則，而不是邊界。引導(dǎo)比強(qiáng)制要求更加容易。

需要記住任何安全策略中最為薄弱的一環(huán)就是人。在保證環(huán)境更加安全的前提下制定安全策略，但是不要讓他們引起問題或者麻煩，不要讓員工在使用過程中感覺困難。

需要記住得到鍵盤下面的寫著密碼的紙條，要比暴力破解容易的多。

為公司進(jìn)行一次風(fēng)險評估。不要只關(guān)注于邏輯保護(hù);你同樣需要物理安全。

隨著現(xiàn)在社會信息技術(shù)的飛速發(fā)展，如今企業(yè)網(wǎng)絡(luò)辦公化也正式步入了無線網(wǎng)的領(lǐng)域中。構(gòu)建無線網(wǎng)最大的好處就是組網(wǎng)無需布線，使用便捷，經(jīng)濟(jì)，所以對多數(shù)企業(yè)來說，無疑是組網(wǎng)方案的最佳選擇。

連接錯誤線路不通

網(wǎng)絡(luò)線路不通有很多原因造成，但首先要檢查的是連接配置上有無錯誤。

在確保路由器電源正常的前提下首先查看寬帶接入端。路由器上的指示燈可以說明寬帶線路接入端是否正常，由說明書上可以辨認(rèn)哪一個亮燈為寬帶接入端及用戶端，觀察其燈閃亮狀態(tài)，連續(xù)閃爍為正常，不亮或長亮不閃爍為故障。我們可以換一根寬帶膠線代替原來的線路進(jìn)行連接。

如果故障依舊，請查看路由器的擺放位置與接收電腦的ARP攻擊會造成網(wǎng)絡(luò)IP沖突，數(shù)據(jù)的丟失及溢出，更有甚者會導(dǎo)致網(wǎng)絡(luò)癱瘓。這些現(xiàn)象對企業(yè)的威脅都是很大的。

首先進(jìn)入“帶有網(wǎng)絡(luò)的安全模式”，在無線網(wǎng)卡屬性處更換電腦的IP地址，之后查看是否可以聯(lián)網(wǎng)。另外購買安裝專業(yè)的殺毒軟件及網(wǎng)絡(luò)防火墻是比較捷徑的方法之一。

其次進(jìn)入路由器“安全設(shè)置”選項進(jìn)行高級設(shè)置。現(xiàn)在的大部分無線路由器都具有WEP的密碼編碼功能，用最長128bit的密碼鍵對數(shù)據(jù)進(jìn)行編碼，在無線路由器上進(jìn)行通信，密碼鍵長度可以選擇40bit或128bit,利用MAC地址和預(yù)設(shè)的網(wǎng)絡(luò)ID來限制哪些無線網(wǎng)卡和接入點可以進(jìn)入網(wǎng)絡(luò)，完全可以確保網(wǎng)絡(luò)安全，對于非法的接收這來說，截聽無線網(wǎng)的信號是非常困難的，從而可以有效的防范黑客的入侵破壞和非法用戶惡意的網(wǎng)絡(luò)攻擊。