【CNETCOM 資訊】人們對“安全補丁”並bing不bu陌mo生sheng
，也ye大da都dou有you過guo給gei自zi己ji的de電dian腦nao操cao作zuo係xi統tong和he各ge種zhong軟ruan件jian打da補bu丁ding的de經jing曆li


，但dan對dui於yu采cai用yong虛xu擬ni化hua與yu雲yun計ji算suan的de企qi業ye用yong戶hu而er言yan

，補bu丁ding管guan理li卻que不bu是shi一yi件jian易yi事shi。前qian不bu久jiu，Gartner發布一份研究報告，內容重點是如何保障 Amazon Web Services 雲端安全的最佳實務原則
，其中重點強調了補丁管理中的“時機”概念。

　　讓我們把時間回溯到2014 年 4 月 1 日
，也就是 Heartbleed (心髒出血)被揭露的那天。此漏洞可讓黑客利用 OpenSSL 鏈接庫當中的 SSL 協議 (handshake)，直接從服務器內存中竊取敏感的信息。

　　在隨後的幾天裏，眾多企業用戶開始了各種手忙腳亂的“打補丁”、OpenSSL庫組件重新編譯、弱點掃描
，這不可避免的導致了Web服務、內部私有雲的核心業務等大量業務陷入停頓。對於這種看似正常的漏洞修補方式，Gartner 專家與亞信安全工程師卻不謀而合的給出了一個違背大多數企業做法的意見，那就是：別修補。沒錯!不要修補運營中的係統!

　　其qi實shi
，我wo們men的de觀guan點dian並bing不bu是shi視shi而er不bu見jian
，讓rang服fu務wu器qi一yi直zhi暴bao露lu在zai危wei險xian當dang中zhong，一yi旦dan遇yu到dao可ke能neng中zhong斷duan業ye務wu的de修xiu補bu程cheng序xu，用yong戶hu就jiu可ke以yi采cai用yong動dong態tai的de方fang式shi進jin行xing部bu署shu
、盡量降低係統修補造成運營中斷的機率。我們建議用戶建立‘靜態’和‘動態’兩種方法打造新的服務器，以及前期規範的測試
、安裝檢測流程和自動化工具。其中的重點在於自動化，因為這樣才能確保您有一套可快速建立及測試新應用程序環境的操作流程。

　　那麼
，漏洞該怎麼辦?時間正一分一秒流逝……

　　此時就是Virtual Patching(虛擬補丁)解決方案派上用場的時候，此項技術通過控製受影響應用程序的輸入或輸出，直接切斷數據外泄和係統入侵的路徑。它的好處有兩點：一是
，可以在不影響應用程序、相關庫以及為其提供運行環境的操作係統的情況下
，為應用程序安裝補丁;二是

，如果一個應用程序的早期版本已不再獲得供應商支持(如Windows XP)，虛擬補丁幾乎是支持該早期版本的唯一方法。

　　在(zai)雲(yun)端(duan)環(huan)境(jing)當(dang)中(zhong)
，不(bu)論(lun)遇(yu)到(dao)多(duo)麼(me)緊(jin)急(ji)的(de)情(qing)況(kuang)
，都(dou)可(ke)以(yi)先(xian)讓(rang)虛(xu)擬(ni)補(bu)丁(ding)程(cheng)序(xu)來(lai)保(bao)護(hu)生(sheng)產(chan)環(huan)境(jing)，然(ran)後(hou)在(zai)另(ling)外(wai)一(yi)個(ge)測(ce)試(shi)環(huan)境(jing)當(dang)中(zhong)同(tong)步(bu)測(ce)試(shi)廠(chang)商(shang)提(ti)供(gong)的(de)修(xiu)補(bu)程(cheng)序(xu)。實(shi)際(ji)上(shang)
，使(shi)用(yong)亞(ya)信(xin)安(an)全(quan)服(fu)務(wu)器(qi)深(shen)度(du)安(an)全(quan)防(fang)護(hu)係(xi)統(tong)(Deep Security)、防毒牆(OfficeScan)等產品的用戶，已經利用虛擬補丁在多次高危漏洞(如Heartbleed)出現時為自己贏得了大量時間
，有效防止了服務器數據泄露事件的發生。

　　在雲計算時代，安全運營模式將徹底改觀，因為雲端服務器是可隨時拋棄的，數據才是重點。所以，傳統的勞動密集型IT補丁流程必須得到改善，因為手工修補的方式不能快速地修補漏洞，甚至會導致核心業務宕機
，這一缺陷在黑客利用零日(0day)漏洞大規模攻擊時，會變得尤為致命。