[[184924]]

虛擬機隔離技術是一項很好的策略，能夠有效防止病毒蔓延到整個云環(huán)境。關于隔離技術，Ed Moyle介紹了企業(yè)需要了解哪些方面。

Joseph Lister是現代外科之父，他防腐手術方法方面做出的開創(chuàng)性貢獻，使他為人們所熟知。自1865年開始，Lister開始將苯酚和石炭酸實踐應用到傷口、器械以及外科醫(yī)生的穿戴上。

關于Lister的故事，其中有趣的一件是：醫(yī)療機構還沒準備好接受Lister的技術要求的更改。例如，當時的手術器械通常包含多孔材料,如木材，它可能會誘發(fā)疾病;還有服裝，包括手套，在手術操作中經常重復使用。雖然Lister的方法是開創(chuàng)性的，對病人能夠直接產生更好的效果，但現實卻相當無情;要想獲得最好的效果，這要需要進行詳細的調查、改造以及重新定位文化。

在現在的安全世界，Lister的方法可以類比為虛擬機(VM)隔離技術——利用分割和沙盒來控制云風險。舉個例子，在2016年黑帽會議主題演講中，White Ops的聯(lián)合創(chuàng)始人Dan Kaminsky概述了microsandboxing技術，稱為Autoclave，它的目的在于限制應用程序，與運行在外部的系統(tǒng)和系統(tǒng)組件之間相互感染。該技術的要點是創(chuàng)建一個隔離的、受控的環(huán)境，在其中可以執(zhí)行關鍵的、與安全相關的任務。

此外，利用了容器化平臺，如Docker或者Rocket的虛擬機隔離策略，除了運營方面的好處外，它更常用于云安全目的。由于容器化技術可以最大限度地減少手動配置更改(包括一次性更改)，因此可以使用容器來最小化更改。它還可以當作一個策略來合理化補丁，并在運行的應用中引入額外的分段。

最后，軟件定義外圍(SDP)和微分段技術已成為備選方案，幫助在云環(huán)境中引入虛擬機隔離。SDP能夠創(chuàng)建“black cloud，”這是一個虛擬的外圍網絡，可以擴展到云環(huán)境中，如基礎設施即服務。這使得組織內部的網絡能夠擴展到云環(huán)境中。

網絡層的微分段技術使組織能夠將安全策略分配特定的工作負載，并且，該策略能夠在生態(tài)系統(tǒng)中的任何地方執(zhí)行—包括連通性，同時，安全經理能夠管理安全工具的運作，如入侵檢測系統(tǒng)或者惡意軟件和漏洞掃描。

對企業(yè)來說，虛擬機隔離是可行的

這些虛擬機隔離方法，在任何方式下都不是等效的;他們在范圍和實現上都是不同的。也就是說，這些虛擬機隔離方法有一些共同之處：首先，這些虛擬機隔離方法都有助于減輕出現在云環(huán)境中的某類威脅。其次，同樣的，Lister的方法需要收集數據，這些虛擬機隔離方法也一樣。也就是說，并不是簡單的從一個傳統(tǒng)的、非孤立的方法遷移到這些虛擬機隔離模型。Kaminsky指出,目前，沒有一個主要供應商支持Autoclave。

多年來，我們看到SDP的采用是緩慢且有限的;而且相比于安全目的，企業(yè)更看重部署和數據中心，所以就會經常部署容器技術。因此，對于那些想要利用虛擬機隔離技術作為安全措施的組織來說，這是否是真正的架構選項?當然是。但前提是，如果組織已經做好了準備，并且已經提前做了相關的調查。

考慮到這一點，如果想要探索這些方法是否正確，組織應該做些什么?想要采用這些策略的組織需要什么?

首先，也是最重要的，組織采用這一策略時，要識別出所有虛擬機隔離策略的復雜性。例如，你可知道你的強項在哪、系統(tǒng)組件和應用是做什么的，以及他們之間如何交互的。無論你是選擇了虛擬機隔離還是分段技術，這都是事實。例如，組織如果不了解這些組件是如何共同工作的，就不能隨機隔離多層應用組件，更不能奢望應用有效地運行。

重要的是，組織要理解所涉及的應用程序—它們是如何溝通的、它們的規(guī)范操作以及你想要隔離的關鍵部分是什么。如果目前這些你都不了解，或者如果你的理解有很大差距，那么，在走這條路之前，這是一個補救的辦法。

同樣，實現虛擬機隔離策略，意味著組織已經了解了想要將隔離技術擴展到工作負載、應用和系統(tǒng)的風險狀況以及前景?？赡苓€會產生額外的(與隔離相關的)復雜性，你在處理非敏感的應用或系統(tǒng)時，所面臨的風險比較少。也就是說，如果沒有充分理解這些應用可能會受到的風險及威脅，那么，就很難決定需要隔離什么。

最后，重要的是長期致力于虛擬機的隔離。記住，環(huán)境并不是靜態(tài)的，環(huán)境經常改變來應對新的使用模式，改變和更新的發(fā)生可能取決于如何使用、業(yè)務需求、架構變化和許多其他原因。在創(chuàng)建虛擬機隔離模型上花費時間和精力，只會將虛擬機隔離模型引導到一個未知的、不受控制的狀態(tài)。