人們對(duì)“安全補(bǔ)丁”并不陌生,也大都有過(guò)給自己的電腦操作系統(tǒng)和各種軟件打補(bǔ)丁的經(jīng)歷,但對(duì)于采用虛擬化與云計(jì)算的企業(yè)用戶而言�����,補(bǔ)丁管理卻不是一件易事���。前不久����,Gartner發(fā)布一份研究報(bào)告��,內(nèi)容重點(diǎn)是如何保障 Amazon Web Services 云端安全的最佳實(shí)務(wù)原則����,其中重點(diǎn)強(qiáng)調(diào)了補(bǔ)丁管理中的“時(shí)機(jī)”概念。
讓我們把時(shí)間回溯到2014 年 4 月 1 日���,也就是 Heartbleed (心臟出血)被揭露的那天��。此漏洞可讓黑客利用 OpenSSL 鏈接庫(kù)當(dāng)中的 SSL 協(xié)議(handshake)���,直接從服務(wù)器內(nèi)存中竊取敏感的信息。
在隨后的幾天里���,眾多企業(yè)用戶開始了各種手忙腳亂的“打補(bǔ)丁”�、OpenSSL庫(kù)組件重新編譯�、弱點(diǎn)掃描����,這不可避免的導(dǎo)致了Web服務(wù)�����、內(nèi)部私有云的核心業(yè)務(wù)等大量業(yè)務(wù)陷入停頓���。對(duì)于這種看似正常的漏洞修補(bǔ)方式�����,Gartner 專家與亞信安全工程師卻不謀而合的給出了一個(gè)違背大多數(shù)企業(yè)做法的意見���,那就是:別修補(bǔ)。沒(méi)錯(cuò)!不要修補(bǔ)運(yùn)營(yíng)中的系統(tǒng)!
其實(shí)�,我們的觀點(diǎn)并不是視而不見,讓服務(wù)器一直暴露在危險(xiǎn)當(dāng)中����,一旦遇到可能中斷業(yè)務(wù)的修補(bǔ)程序�,用戶就可以采用動(dòng)態(tài)的方式進(jìn)行部署、盡量降低系統(tǒng)修補(bǔ)造成運(yùn)營(yíng)中斷的機(jī)率�。我們建議用戶建立‘靜態(tài)’和‘動(dòng)態(tài)’兩種方法打造新的服務(wù)器����,以及前期規(guī)范的測(cè)試��、安裝檢測(cè)流程和自動(dòng)化工具����。其中的重點(diǎn)在于自動(dòng)化,因?yàn)檫@樣才能確保您有一套可快速建立及測(cè)試新應(yīng)用程序環(huán)境的操作流程�����。
那么����,漏洞該怎么辦?時(shí)間正一分一秒流逝……
此時(shí)就是Virtual Patching(虛擬補(bǔ)丁)解決方案派上用場(chǎng)的時(shí)候,此項(xiàng)技術(shù)通過(guò)控制受影響應(yīng)用程序的輸入或輸出����,直接切斷數(shù)據(jù)外泄和系統(tǒng)入侵的路徑。它的好處有兩點(diǎn):一是�,可以在不影響應(yīng)用程序、相關(guān)庫(kù)以及為其提供運(yùn)行環(huán)境的操作系統(tǒng)的情況下��,為應(yīng)用程序安裝補(bǔ)丁;二是,如果一個(gè)應(yīng)用程序的早期版本已不再獲得供應(yīng)商支持(如Windows XP)��,虛擬補(bǔ)丁幾乎是支持該早期版本的唯一方法�����。
在云端環(huán)境當(dāng)中�����,不論遇到多么緊急的情況��,都可以先讓虛擬補(bǔ)丁程序來(lái)保護(hù)生產(chǎn)環(huán)境�����,然后在另外一個(gè)測(cè)試環(huán)境當(dāng)中同步測(cè)試廠商提供的修補(bǔ)程序�。實(shí)際上,使用亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)����、防毒墻(OfficeScan)等產(chǎn)品的用戶,已經(jīng)利用虛擬補(bǔ)丁在多次高危漏洞(如Heartbleed)出現(xiàn)時(shí)為自己贏得了大量時(shí)間����,有效防止了服務(wù)器數(shù)據(jù)泄露事件的發(fā)生�����。
在云計(jì)算時(shí)代,安全運(yùn)營(yíng)模式將徹底改觀�,因?yàn)樵贫朔?wù)器是可隨時(shí)拋棄的,數(shù)據(jù)才是重點(diǎn)�����。所以����,傳統(tǒng)的勞動(dòng)密集型IT補(bǔ)丁流程必須得到改善,因?yàn)槭止ば扪a(bǔ)的方式不能快速地修補(bǔ)漏洞�����,甚至?xí)?dǎo)致核心業(yè)務(wù)宕機(jī)��,這一缺陷在黑客利用零日(0day)漏洞大規(guī)模攻擊時(shí)��,會(huì)變得尤為致命��。
