从此话题开始,会依次介绍一些细节或与具体场景相关的NSX知识。有些话题目前写时机还不成熟,所以未来文章的序号会有跳跃性,为一些话题预留空间。
安全是一个比较大的话题,从不同角度看有多种安全。以一台个人电脑为例,如何才能保证电脑的安全?
首先要清楚安全的最终目的是什么。对于个人用户来说,最重要的是数据,比如珍贵的文稿,珍贵的照片。
普通电脑的所有资料只是保存在单个硬盘之中,保证数据安全的第一步就是避免单硬盘的故障,最简单的解决办法是两个硬盘保存同样的数据。在企业环境中,同样地,任何的业务系统首先会做到存储层面的多设备冗余,避免物理设备的单点故障。
但是第一种办法有个缺陷,假如电脑丢了,或者误操作删除了文件,普通用户很难去找回数据,那这时候有一个移动硬盘备份就很好,定期备份重要数据,如果误删除,使用历史备份数据恢复,也不至于损失太大。企业环境里,会有专业的备份系统支撑,相比移动硬盘,设备可靠性更高,且可以近乎实时的备份数据。
前两种办法做了数据层面的安全,但只做了防丢失,而很多时候重要的数据也要求防窃取。
曾经去一些涉密单位做项目,经常看到他们屏幕保护程序上会有动画演示,要求所有终端不接U盘,不连互联网。还说不要将涉密U盘插在家用电脑上,即使断网也不行,因为家用电脑上可能存在恶意软件,在电脑联网后,恶意软件会将涉密文件上传到互联网。
上面演示的是一种最基本的数据泄露的途径。围绕上述场景有几个关键字:恶意软件、互联网、人员。
企业为了解决这些问题需要使用各种各样的手段。为了避免恶意软件,需要在每个终端上部署防病毒软件;为了避免恶意软件通过网络进入终端,需要在终端和互联网之间加一道防火墙;通过技术手段或者行政手段,要求人员禁用移动存储设备传输涉密文件,禁止将涉密文件传输到互联网。
以上是最基础的防护手段,从原理上说,防病毒软件需要通过病毒特征库来杀毒,而特征库是基于病毒样本,也就是说防病毒只能做到“事后”安全,为了将杀毒软件作用发挥到最大,需要在第一时间更新病毒库。
防火墙分传统防火墙和下一代防火墙(NGFW)。传统防火墙只做基础的阻断,让流量按照我们预期放行或者阻止,其策略形式为:电脑A禁止访问服务器B;NGFW在传统防火墙的基础上,添加了一些针对应用、用户或内容的访问控制,其策略可以是:用户A不能将文件B发送到互联网,或者用户A不能访问优酷等视频网站。
针对人员,普通企业的管控可能为0;或者基础防护:每台电脑装防病毒软件;或者高级防护,每台电脑里再装文件加密软件,文件在其他地方被打开时要求密码;或者再高级,员工使用Flex或者VDI解决方案,所有与企业相关的数据都在数据中心统一保管,通过技术手段禁止员工进行敏感数据的传播。
下图为标准VDI(虚拟桌面)解决方案示意图:
现实很残酷,现在更多的安全事故都发生在“允许的范围内”,比如很早就有的针对网站漏洞的注入×××,简单说就是×××人员利用合法的访问权限,利用一些网页程序自身的开发漏洞进行的×××。注入×××和WannaCry,可以同归为“利用应用的漏洞来发起的×××”。
除了此×××,还有针对用户的社会工程学×××,比如收集与某个人相关的个人信息,如手机号、生日、或其他网站登录时用的一些登录凭据(曾经CDSN暴库后有大量登陆信息),通过各种各样的信息发起对个人的×××,×××后的最终对象可能是电脑、互联网账户等,不过这类×××主要面向与人,且×××成本比较高,对于企业来说,防护的方法或许就是强制要求每个员工定期修改强密码以及用动态登陆口令替代固定密码登陆。
以前也遇到过 iPhone 被神奇重置,开机后要求输入密码,而与 iPhone 关联的 Apple账号已经无法访问。这可能是针对于个人的社会工程学×××,或许可能只是在某个公众场所连了“错误的WiFi” ,或许是装了不该装的App。其实被重置还好,要是iCloud里的数据丢失才是大事。现在很多企业允许 BYOD(Bring Your Own Device),更多员工也在使用移动设备进行办公,处理企业敏感信息,在这样的环境下,移动终端的安全也是未来必须关注的。
从以上的种种介绍,可能有人注意到了,安全风险在向更精细化的方向走,而这时候,安全防护也要向更精细化走。
NSX 的安全,正是为了达成这一目标。
文章戛然而止,因为写完发现篇幅过长,故拆分成了两篇,下一篇介绍 NSX 在安全方面的一些变革、一些小场景。
转载于:https://blog.51cto.com/67721/2129496
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
