人们对“安全补丁”并不陌生,也大都有过给自己的电脑操作系统和各种软件打补丁的经历,但对于采用虚拟化与云计算的企业用户而言,补丁管理却不是一件易事。前不久,Gartner发布一份研究报告,内容重点是如何保障 Amazon Web Services 云端安全的较佳实务原则,其中重点强调了补丁管理中的“时机”概念。
让我们把时间回溯到2014 年 4 月 1 日,也就是 Heartbleed (心脏出血)被揭露的那天。此漏洞可让黑客利用 OpenSSL 链接库当中的 SSL 协议 (handshake),直接从服务器内存中窃取敏感的信息。
在随后的几天里,众多企业用户开始了各种手忙脚乱的“打补丁”、OpenSSL库组件重新编译、弱点扫描,这不可避免的导致了Web服务、内部私有云的核心业务等大量业务陷入停顿。对于这种看似正常的漏洞修补方式,Gartner 专家与亚信安全工程师却不谋而合的给出了一个违背大多数企业做法的意见,那就是:别修补。没错!不要修补运营中的系统!
其实,我们的观点并不是视而不见,让服务器一直暴露在危险当中,一旦遇到可能中断业务的修补程序,用户就可以采用动态的方式进行部署、尽量降低系统修补造成运营中断的机率。我们建议用户建立‘静态’和‘动态’两种方法打造新的服务器,以及前期规范的测试、安装检测流程和自动化工具。其中的重点在于自动化,因为这样才能确保您有一套可快速建立及测试新应用程序环境的操作流程。
那么,漏洞该怎么办?时间正一分一秒流逝……
此时就是Virtual Patching(虚拟补丁)解决方案派上用场的时候,此项技术通过控制受影响应用程序的输入或输出,直接切断数据外泄和系统入侵的路径。它的好处有两点:一是,可以在不影响应用程序、相关库以及为其提供运行环境的操作系统的情况下,为应用程序安装补丁;二是,如果一个应用程序的早期版本已不再获得供应商支持(如Windows XP),虚拟补丁几乎是支持该早期版本的方法。
在云端环境当中,不论遇到多么紧急的情况,都可以先让虚拟补丁程序来保护生产环境,然后在另外一个测试环境当中同步测试厂商提供的修补程序。实际上,使用亚信安全服务器深度安全防护系统(Deep Security)、防毒墙(OfficeScan)等产品的用户,已经利用虚拟补丁在多次高危漏洞(如Heartbleed)出现时为自己赢得了大量时间,有效防止了服务器数据泄露事件的发生。
在云计算时代,安全运营模式将彻底改观,因为云端服务器是可随时抛弃的,数据才是重点。所以,传统的劳动密集型IT补丁流程必须得到改善,因为手工修补的方式不能快速地修补漏洞,甚至会导致核心业务宕机,这一缺陷在黑客利用零日(0day)漏洞大规模攻击时,会变得尤为致命。 
