數(shù)據(jù)中心的復(fù)雜性增加了網(wǎng)絡(luò)安全的挑戰(zhàn)
掃描二維碼
隨時(shí)隨地手機(jī)看文章
(文章來(lái)源:中國(guó)IDC圈)
如今,各國(guó)政府從未面對(duì)過(guò)如此多的網(wǎng)絡(luò)安全威脅。從黑客行動(dòng)主義者到有組織犯罪,網(wǎng)絡(luò)攻擊者都在不分晝夜地進(jìn)行攻擊,以損害各國(guó)政府的技術(shù)、基礎(chǔ)設(shè)施和民眾??植乐髁x組織正在積極尋求利用軟件漏洞,最近美國(guó)國(guó)家安全局關(guān)于ISIS和BlueKeep漏洞的調(diào)查就證明了這一點(diǎn),后者針對(duì)的是傳統(tǒng)的基于Windows的系統(tǒng)。甚至是業(yè)余黑客通過(guò)開發(fā)的工具包將各種數(shù)據(jù)泄露到公共領(lǐng)域,從而構(gòu)成了越來(lái)越大的威脅。
毫不奇怪,網(wǎng)絡(luò)安全是首席信息官最關(guān)心的問(wèn)題。調(diào)研機(jī)構(gòu)Gartner公司預(yù)計(jì),全球從2017年用于網(wǎng)絡(luò)安全的費(fèi)用900億美元將增至2022年的1萬(wàn)億美元。與此同時(shí),美國(guó)經(jīng)濟(jì)顧問(wèn)委員會(huì)的報(bào)告稱,惡意攻擊對(duì)全球經(jīng)濟(jì)造成的損失可能高達(dá)每年1090億美元,而IBM公司估計(jì),每次攻擊造成的平均損失為386萬(wàn)美元。
由于存在如此多的風(fēng)險(xiǎn),沒(méi)有哪一個(gè)政府組織能夠承受基礎(chǔ)設(shè)施的脆弱性。然而,在預(yù)算和資源緊張的背景下,打擊網(wǎng)絡(luò)威脅是政府機(jī)構(gòu)工作人員面臨的一個(gè)嚴(yán)峻挑戰(zhàn)。政府機(jī)構(gòu)面臨的管理挑戰(zhàn)之一是,數(shù)據(jù)中心環(huán)境在過(guò)去十年中變得越來(lái)越復(fù)雜。工作負(fù)載在本地、公共云和私有云中以及邊緣計(jì)算運(yùn)行。這種多樣性帶來(lái)了更大的安全風(fēng)險(xiǎn)。
可以理解,許多首席信息官都在關(guān)注將關(guān)鍵工作負(fù)載放在何處,并希望跨環(huán)境實(shí)現(xiàn)端到端的安全性。但現(xiàn)實(shí)情況是,數(shù)據(jù)中心堆棧的每一層都存在安全風(fēng)險(xiǎn)。黑客們已經(jīng)意識(shí)到了這一點(diǎn),并且已經(jīng)瞄準(zhǔn)了應(yīng)用層,現(xiàn)在正在進(jìn)一步升級(jí)對(duì)管理程序、引導(dǎo)驅(qū)動(dòng)程序、固件甚至硬件的攻擊。
雖然政府機(jī)構(gòu)一直致力于降低個(gè)人計(jì)算機(jī)的安全風(fēng)險(xiǎn),但他們開始意識(shí)到需要將注意力轉(zhuǎn)移到基礎(chǔ)設(shè)施上。傳統(tǒng)的數(shù)據(jù)中心保護(hù)措施(如檢測(cè)和隔離軟件)或周邊控制(如防火墻)已經(jīng)不夠用了。而當(dāng)發(fā)現(xiàn)問(wèn)題時(shí),很可能已經(jīng)造成了損壞。
為了保護(hù)空閑、傳輸和使用中的數(shù)據(jù),IT管理員必須從處理器基礎(chǔ)開始,全面了解組織的風(fēng)險(xiǎn)并建立控制。安全性必須在開始時(shí)設(shè)計(jì)到數(shù)據(jù)中心架構(gòu)中,而不是通過(guò)隨機(jī)產(chǎn)品進(jìn)行臨時(shí)解決。
在應(yīng)用程序?qū)影l(fā)生的數(shù)據(jù)中心攻擊很容易識(shí)別,但真正的威脅更嚴(yán)重,攻擊更難檢測(cè)和補(bǔ)救。這是因?yàn)閭鹘y(tǒng)的檢測(cè)解決方案不太擅長(zhǎng)識(shí)別惡意軟件滲透到硬件組件的基礎(chǔ)上,而且有些組件會(huì)使堆棧暴露在額外的漏洞中。例如,管理程序的設(shè)計(jì)就是為了優(yōu)化虛擬機(jī)內(nèi)存空間和內(nèi)核。然而,這種資源共享打開了管理程序和堆棧,以增加攻擊風(fēng)險(xiǎn)。
信任鏈?zhǔn)菑牡谝粋€(gè)引導(dǎo)過(guò)程建立強(qiáng)化安全性的關(guān)鍵,它始于可信平臺(tái)模塊。TPM存儲(chǔ)在機(jī)器的芯片中而不是軟件中,存儲(chǔ)專門與設(shè)備本身相關(guān)的加密密鑰。建立信任鏈意味著應(yīng)對(duì)堆棧中的每個(gè)層(引導(dǎo)、虛擬化、庫(kù)、服務(wù)和應(yīng)用程序)進(jìn)行檢查,從而證明堆棧的每一層的有效性。