Bromium一个资金充足的初创公司是否承诺利用一些很少被使用的固有优势Xen虚拟化确保公共云的安全,为企业节省更多成本提供了可能,企业将能够将更多数据信任给这些服务。
该公司创始人之一西蒙•克罗斯比(Simon Crosby)表示,隔离功能和建立可信的硬件核心系统,可以创建公共云环境,以满足监管机构对数据安全的关注。
在克罗斯比更多:Xen的教父:虚拟化是公共云安全的关键
由于Bromium仍处于隐身状态,Crosby故意对其中一些内容含糊不清,但他确实指出,该技术存在于能够部署在公共网络内的安全系统中,并能确保用户的数据隐私将得到维护。
足球竞猜app软件资深编辑蒂姆·格林最近接受了克罗斯比的采访。以下是经过编辑的谈话记录。
对于每天都要和Xen打交道,你有什么感觉?
我没说我把它留下了。这是一个开源代码库,我们在Bromium所做的一切都是基于我们所学到的如何做好的东西,也就是开发软件和交付更好的系统开源。所以毫无例外,开源是我们在Bromium所做的一切的核心。Ian [Pratt, Xen的父亲和Bromium]仍然是Xen.org的主席,我们在Xen的世界里仍然非常活跃。离开我们已经开发的产品是很困难的,特别是XenServer和XenClient这类产品,但是Xen作为一项技术仍然非常高效,而且它正在进入令人难以置信的领域。这是非常有趣的。
你说的不可思议的地方是什么意思?
每当我揭开正在交付的新部件的面纱(因此它深入了科学领域),许多设备都是用基于氙的虚拟化构建的。它在云中无处不在,在我从来没有想到过的地方,有些地方甚至不允许我告诉你。Xen确实极大地改变了整个云业务,我认为它还会继续改变。
为什么不谈谈Xen已经部署的一些地方呢?
在你可能认为的世界里,钕元素做了很多有趣的事情安全我认为这与信任或值得信赖更相关。我们接触过的很多人,当然是我们在建立XenClient时在联邦政府中接触过的人。这些人运行着非常安全的系统,他们甚至不会告诉我,因为我没有安全许可。通常谈话都是单向的,他们总是和一个叫鲍勃的人在一起,尽管他们看起来都不一样。值得注意的是,开源为将技术交付到社区提供了一个极好的工具,在社区中,信任是绝对的基础,而在那里,人们似乎更喜欢开源方法,因为一切都是开放的。然后他们就可以自己动手了,他们不需要相信任何人。他们不需要相信我或其他人。他们可以自己关注代码,特别是在XenClient的情况下,核心安全模块是由联邦安全机构的贡献者编写的,这些人通常不会做这项工作。
Xen仍然是迄今为止最小、最成熟的[虚拟化]平台。我们可以让它更小,更安全。
越小越好。在如今人们使用XenServer或VMware处理的一般系统中,这些都是小型系统,但它们之所以变得更大,是因为它们必须随身携带设备驱动程序,因为它们会运行所有的硬件。一般来说,这是一个你必须处理的问题。所以Hyper-V很小,但考虑到所有的设备驱动基础设施,它会变得更大。从目标的角度来看,把这些东西变得更小,越来越看不见,越来越小是更好的选择。最终,您希望能够以某种方式暴露平台中的虚拟机监控程序,这样您就可以处理有限的硬件集,而不必携带大量的驱动程序。XenClient这样做是为了一个相对有限的[硬件兼容性列表]。但是,当然,让东西更小、更快、更精简是我们的目标。一个反例是,窗户也就是六千万行代码,对吧?如果您简单地假设您的漏洞与代码行数成正比,那么您就会希望减少它。
顺便说一下,KVM也有同样的挑战,一般来说,它和Linux。KVM驱动程序本身很小;这项链非常精致。只是当您实现KVM时,在它下面运行着Linux。这也带来了它自己的挑战。
那么,您认为在虚拟环境中处理安全问题的最佳模型是什么呢?
答:我认为五年后我们会发现硬件虚拟化的核心价值是安全。实际上,它是更好的信任或更好的隔离,并不是我们今天提出的所有虚拟化的宏大案例。因此,即使在云计算中,虚拟化的主要用例也将在大约5年后成为通过隔离实现的安全和安全性。现在我觉得我们的处境很糟糕。这是绝对的情况,没有一家财富500强公司没有被妥协,这真的是可怕的事情。我认为这主要是因为在过去的10年左右的时间里我们一直享受着做美好事情的好处而其他人一直在关注如何阻止它。我们在后面。
虚拟化可以帮助实现安全吗?要明确地说,虚拟化是一种隔离技术,我认为我们开始看到虚拟化以多种方式被用作安全技术的第一批案例。我认为一个是创建一个高度安全的云系统,它可以用来交付多层安全系统。英特尔最近宣布DeepSAFEMcAfee的技术,一种类型1的管理程序早期加载,它的唯一目的是保护运行时。因此,您将开始了解虚拟化安全性在客户机上的具体用途。我想最终会是一样的服务器系统。显然,您必须让服务器管理程序学习新东西。
你所说的隔离到底是什么意思?
我会在桌面的背景下讨论它,桌面有六千万行漂亮的代码微软我访问过的每一个网站都是不同的信任领域。然而,他们都在共用那6000万行代码。这就是问题所在,因为我们在操作系统中使用的隔离不同信任域的结构非常粗糙,通常很容易被破坏。例如,当一个网站下载了一个获得特权的活动X时,可以很容易地跨这两个信任域扩展这些特权。你可能有一个抽象的流程或者用户标识符。
这些都是非常粗糙的,可以说,我接触过的每一个网站或每一个应用程序都是不同的信任领域,必须以这种方式尊重。我们普遍存在的问题是我们有太多的信任域共存着大量相对多孔的代码。这就为人们提供了一个从开放的、公众的、不安全的世界跨越到私人世界的机会。也许是一种解释,但我企业的最大威胁,因为每天我走在环境缠绕着我,我所有的朋友,所有的人我喜欢交谈和一大堆企业任务要做。当我的一个朋友让我打开一个附件时,砰的一声,这个人现在在企业里。
挑战在于我们已经集中。我们有大量的代码,不能完成隔离信任领域的工作,此外,我们对用户在安全上下文中的行为做出了非常糟糕的假设。应该吓到我们所有人的是,我们对消费者身份、Facebook和其他网站上的个人隐私区域遭到入侵的容忍程度有多高。但是我们每天都把这些行为带入企业。所以当我收到朋友的邮件说生日快乐时,我要点击它,我们就完成了。不管你对用户进行了多少培训,他们还是会犯错误。用户追求的是乐趣而不是功能。安全通常会限制功能,这使得用户想要离开安全的世界,进入Dropbox这样的网站。我不能通过Exchange服务器发送一个大的ppt吗?我将不得不通过Dropbox发送它。 In general everybody is using the cloud, they just don't know about it. That's a woeful state. The only reason that is the case is we're so poor at architecting trust. I think Microsoft is going down the right path, by the way. In Windows 8 they're doing a much, much better job, but it's still pretty bad.
你建议的终端设备可以根据不同的安全域来支持不同的安全域吗?
同样的参数应用于服务器端。登录到同一Web服务器的每个人都处于某个进程的相同上下文中。有些人是攻击者,有些人只是想进行银行交易的人。这个问题不是一个特定的云问题而是一个客户服务器问题,我们在隔离计算单元方面做得很差这些计算单元应该彼此隔离因为它们必须与提供商建立信任关系或者彼此不信任。这就是溴离子要解决的问题。它不是一家安全公司,因为它能找到坏人。我认为我们在这方面是无用的,一般来说是无用的,整个行业在这方面也是无用的。顺便说一下,这只不过是重述了计算机科学中一个著名的结果即一个程序不可能决定另一个程序是好是坏。我们需要面对现实,摆脱试图决定一段代码是否是攻击者的愚蠢游戏。黑名单吗? It's done. Over. We should get out of it. It's ordinary enough on any system for the bad guys to change before you can get any new signature. So we need to just admit blacklisting is done. Whitelisting doesn't go far enough. The code that you know about is fine, you know that it's fine. But it doesn't say how trusted code -- that is well-intentioned code -- behaves when it is combined with untrustworthy data. That's a very challenging problem.
虚拟化技术在这方面有很大帮助,因为首先,如果您拥有系统的可信组件(比如hypervisor),那么应该有几十万行代码,这是一个小得多的漏洞占用。其次,我们需要在设计系统时要知道用户会犯错误。我们是攻击的载体,我们必须能够保护系统,即使用户犯了错误。第三,我们必须能够处理像零日这样的可怕的事情。我们必须知道我们的代码有漏洞,甚至当我们的代码让我们失望,因为我们只是人类毕竟和我们写坏代码——我们必须能够使混凝土声明关于剩余系统的可信度和他们是否已经丢失或受损。这绝对是一个基本的要求;我们必须。在云系统的特定上下文中,如果没有TPM (Trusted Platform Module)硬件子系统,就没有理由再出售服务系统。这样您就能够推断出代码库的安全性。没有理由不加密云中的每一块数据。 You can encrypt it at wire speed and there is no excuse ever for the cloud provider to manage the key. So what should happen is when you run an application in the cloud you should provide it with the key and only in the context of the running application as the data comes off some storage service it is decrypted and goes out re-encrypted on the fly. That way if somebody compromises the cloud provider's interface or if someone walks into the cloud provider and walks off with a hard disk, then you are OK. And there is no reason that people should not do this.
所有这些技术都在那里。服务器供应商没有理由不把它放在每台服务器上。我给每个企业的建议是,不要购买没有TPM的服务器。不要使用不使用它的管理程序。我们需要使用硬件的所有功能来让世界更加安全。人们应该打败他们的供应商,直到他们在it方面做得更好——hypervisor供应商、服务器供应商和其他一切。