在云规模上保护高价值数据和系统的3个关键

 
最大限度地提高安全性，总拥有成本和服务质量从未像现在这样具有挑战性，而且非常重要。对于管理高度敏感，高价值的工作负载和数据的政府和企业而言，尤其如此。从数据中心到边缘，新的深层威胁和基础架构现代化都需要采用新的方法来达到最佳性能。
英特尔数据中心事业部数字转型与规模解决方案首席技术官Bill Giard指出，当今的政府，金融，能源，医疗保健和其他对安全敏感的行业必须抵御更大范围的外部和内部威胁。目标包括计算堆栈的每个级别，包括固件，BIOS和虚拟机(VM)。
同时，组织还需要简化且经济高效的方式来共享不降低QoS的计算资源。但是如何?
高风险的重新评估正在进行中
仅仅将恶意行为者挡在数据中心或网络范围之外是不够的。不幸的是，贾德(Giard)说：“仅软件选项是不够的。”防火墙等标准外围控件也不是。标准的东西向网络隔离-数据中心内服务器之间的数据传输-不会阻止可能躲避标准保护措施的rootkit。将所有高安全性工作负载放在自己的裸机上是一项代价高昂，效率低下的权宜之计。 (有关更多信息。)
为大规模云安全性做出正确选择也是一项至关重要的业务决策。经济顾问委员会说，恶意网络活动每年可能给美国造成1090亿美元的损失。 IBM估计，全球平均每次违规成本为380万美元。面临如此多的风险，任何组织都无法承受运营成本高昂，不安全的基础架构的负担。
结果，许多技术和业务领导者正在重新评估保护机密数据的旧方法。他们担心常规防御措施无效，繁琐或缺乏可扩展性。确实，超融合基础设施吸引人的经济学要求组织找到可行的解决方案。但是，问题又又是如何呢?
解决方案和关键原则
一些私营和公共部门组织正在实施英特尔和洛克希德·马丁公司开发的新的领先技术。它是专门为需要高级别保护和QoS的敏感数据工作负载而设计的。长期的合作伙伴已经在针对边缘和数据中心系统的强化全栈虚拟化平台上进行了合作。经过几年的生产，该解决方案现已作为OEM强化安全产品的一部分通过OEM广泛提供。
然而，许多企业和政府实体仍在努力理解在虚拟化环境中经济高效地保护高价值，运行时数据所需的关键要素和步骤。
以下是一些重要原则，可以帮助您的组织保持在瞬息万变的安全格局中的领先地位。
关键1：全面思考
不良参与者现在正在攻击整个堆栈，因此，组织需要更好地加强整个堆栈。洛克希德·马丁导弹和消防控制部门的新计划主任亚当·米勒说，零碎的防御风险正在造成关键的网络装甲上的空白。
他说：“从加密劫持到恶意内部人员，IT不能简单地“依靠”安全功能。” “为了提高数据中心的安全性，组织不能仅仅部署随机产品。他们需要从处理者，基础开始，然后从整体上了解组织的风险并建立控制措施。”
原因很简单：服务器可以运行最安全的操作系统，但是，如果未验证和信任以下各层，则攻击仍会成功。因此，现代防御必须在整个计算堆栈中提供保护，从硬件到软件，包括虚拟机管理程序，操作系统，应用程序和数据。最有效的系统将通过启动，BIOS加载和运行时在VM环境中运行。集成方法最大程度地减少了评估和集成硬件与软件的时间，成本和复杂性。
关键2：从硬件基础入手
高级持久威胁(APT)使用rootkit和其他手段来破坏企业堆栈中的低级组件，包括虚拟机管理程序，引导驱动程序，BIOS，固件甚至硬件。例如，“ Shamoon”漏洞(aka W32.DisTrack)攻击了PC主引导记录。从那时起，恶意软件才变得越来越复杂。
例如，安全研究人员Eclypsium报告说，诸如LoJax之类的UEFI rootkit使“固件可以进行远程通信，甚至可以从Internet上的远程服务器执行完整的HTTP引导。”植入的恶意软件不仅危害了宝贵的IP，而且还威胁着破坏InfoSec的信誉。在危险的新型硬件攻击中，Gartner警告：“潜在的可利用实施将持续数年。”
考虑到威胁的严重性，建立安全的基础至关重要。服务器可以运行最安全的操作系统，但是下面的固件层应经过验证并被认为是受信任的，否则攻击仍然可能成功。引导保护可以通过多种方式来实现，但是要得到真正的信任，它必须涉及硬件以启用附加的，基于软件的防御，这些防御在堆栈上运行得更高。
建立由硬件强制执行的防火墙可以增强对敏感数据的保护，使其免受不可信任的工作负载或恶意软件威胁的侵害，从而有助于消除泄漏，修改和特权升级。这就是英特尔洛克希德·马丁公司从加密隔离虚拟机开始的原因。 Miller解释说：“构建其他安全性可以依靠的基础安全性至关重要。”
关键3：超越孤立的裸机
组织通常会为高安全性应用程序创建独立的“裸机”系统。直接在硬件上安装VM的做法已获得广泛关注，这是一种为敏感数据工作负载获得高性能的方法。全球市场继续以每年14%的速度增长。
支持者说，裸机的物理机器级隔离提供了可靠，稳定，经济和专有的计算资源。然而，这种方法也有不利之处。批评人士说，裸机服务器需要更多的物理空间，消耗更多的电力，并增加维护和支持成本。一些安全专家说，尽管裸机可以有效地减少攻击面，但这是有限的解决方案。
英特尔的Giard解释了为什么：“如果您在裸机上拥有绝密或高安全性的应用程序，则必须从头开始构建一个全新的系统机架，并将端口与网络访问隔离开，因为您需要控制与它一起运行的软件。不幸的是，这也意味着您很大程度上被现代基于云的，共享的，软件定义的基础架构和业务流程所带来的上市时间敏捷性所束缚。”
的确，裸露的金属可以消除影响性能的“嘈杂邻居”问题，从而帮助您达到QoS目标。但是从TCO的角度来看，这是一个破产：每个系统都需要一个新的内核，新的VM许可，机架空间，电源以及其他相关的所有权费用，这些费用可能会迅速上升。
相比之下，现代安全基础架构将多个复杂的专用旧服务器整合为简化的分区解决方案。 Giard解释说，这样做消除了为每个系统创建基础架构的需要。他说：“现在，您无需将三个或四个系统并排放置，而是将这些应用程序放在同一系统上，然后通过软件进行配置，就像在OpenStack或任何其他虚拟机环境中一样。”
快速石蕊测试
组合多个裸机系统有助于满足虚拟化环境中的QoS KPI。这种服务器整合节省了时间，并降低了IT软件许可和支持成本。
Giard建议了两个快速的石蕊试纸问题：
您能否分区和隔离共享资源，例如缓存，核心，内存和设备?
您可以提供跨域保护以防止泄漏，修改和特权升级吗?
取得平衡
随着高安全性计算继续在云和边缘中扩展，Giard预测，全栈安全性和现代虚拟化基础架构将成为行业规范。
他说，这种方法应该吸引公共和私营部门实体以及行业OEMS和ISV。 “他们可以以不同的方式启用这些服务，而不会中断其管道，并提供新的结构化安全策略作为其安全服务的一部分。惠普企业，Mercury Systems和Supermicro正在准备基于Intel-Lockheed Martin解决方案的产品。
企业不必在防御设备，网络和数据中心以及现代基础架构的一致性能和经济利益之间进行选择。共享资源并不一定意味着要共享风险或组织最敏感和最有价值的资产。将裸机系统的安全性和性能引入云和虚拟基础架构将改变游戏规则。