人们对“安全补丁”并不陌生,也大都有过给自己的电脑操作系统和各种软件打补丁的经历,但对于采用虚拟化与云计算的企业用户而言,补丁管理却不是一件易事。前不久,Gartner发布一份研究报告,内容重点是如何保障Amazon Web Services云端安全的最佳实务原则,其中重点强调了补丁管理中的“时机”概念。
让我们把时间回溯到2014年4月1日,也就是Heartbleed(心脏出血)被揭露的那天。此漏洞可让黑客利用OpenSSL链接库当中的SSL协议(handshake),直接从服务器内存中窃取敏感信息。
在随后的几天里,众多企业用户开始了各种手忙脚乱的“打补丁”、OpenSSL库组件重新编译、弱点扫描,这不可避免地导致了Web服务、内部私有云的核心业务等大量业务陷入停顿。
亚信安全技术部总经理蔡昇欽对于此类事件的态度是:“不用修补,但这并代表要视而不见,让服务器一直暴露在危险当中。一旦遇到可能中断业务的修补程序,用户可以采用动态的方式进行部署、尽量降低系统修补造成运营中断的概率。我们建议用户建立‘静态’和‘动态’两种方法打造新的服务器,以及前期规范的测试、安装检测流程和自动化工具。其中的重点在于自动化,因为这样才能确保您有一套可快速建立和测试新应用程序环境的操作流程。”
那么,这些云端漏洞该怎么修补?时间正一分一秒流逝……
此时就是Virtual Patching(虚拟补丁)解决方案派上用场的时候,此项技术通过控制受影响应用程序的输入或输出,直接切断数据外泄和系统入侵的路径。它的好处有两点:一是,可以在不影响应用程序、相关库,以及为其提供运行环境的操作系统的情况下,为应用程序安装补丁;二是,如果一个应用程序的早期版本已不再获得供应商支持(如Windows XP),虚拟补丁是支持该早期版本的唯一方法。
在云端环境当中,不论遇到多么紧急的情况,都可以先让虚拟补丁程序来保护生产环境,然后在另外一个测试环境当中同步测试厂商提供的修补程序。实际上,使用服务器深度安全防护系统或者防毒墙等产品的用户,就可以利用虚拟补丁在高危漏洞(如Heartbleed)出现时为自己赢得大量时间,有效防止服务器数据泄露事件的发生。
在云计算时代,安全运营模式将彻底改观,因为云端服务器是可随时抛弃的,数据才是重点。所以,传统的劳动密集型IT补丁流程必须得到改善,因为手工修补的方式不能快速地修补漏洞,甚至会导致核心业务宕机,这一缺陷在黑客利用零日(0day)漏洞大规模攻击时,会变得尤为致命。因此建议用户采用自动修补的方式来减少损失。
本报记者 赵明
关注读览天下微信,
100万篇深度好文,
等你来看……
