嵌入式补丁保护服务器

没完没了的安全补丁升级会严重影响用户的正常工作，而新型的嵌入式补丁代理系统不仅性能很高，还可以消除物理服务器和虚拟机的安全漏洞。

烦人的补丁

对企业数据中心的管理人员来说

，微软、甲骨文及其他软件开发商（还有更多的开源项目）没完没了的安全补丁是让人沮丧的一个主要根源。安全补丁恐怕是IT人员最不喜欢、却又回避不了的东西，它具有干扰性、很费时间，而且有风险。它们未经宣布就出现在用户面前，或者只按照开发商的时间表发布，根本就不顾及用户自己精心考虑的管理流程。而且与任何变化一样，安全补丁在部署前需要测试。就算测试过程一帆风顺，也还可能会带来这样那样的新问题。因而，安全与数据中心的系统可用性经常处于对立的地位。

把补丁打在服务器之前

Blue Lane公司的创办者有一个更好的想法：把安全补丁部署到位于服务器前面的网络设备上，这样每台服务器都能受到保护，远离软件漏洞，又不必改动服务器本身。IT人员随后可以按照自己的时间表，安装实际的补丁。

据CEO Jeff Palmer声称：“当时的想法实际上是通过提供服务器补丁在网络上的客户机服务器协议上可以运行的这种功能，确保服务器安全。”这样IT部门不用仓促打上补丁，又没有非计划停机的风险。

Blue Lane负责产品业务的高级副总裁Allwyn Sequeira 回忆道：“我们头一年用来分析追溯到2003年1月1日的所有重大安全漏洞和所有安全补丁。我们花了很长时间来确保能够解决网络上的底层漏洞。”

Blue Lane在众多基于特征的入侵防御系统（IPS）之后进入了市场，当时面临向人们介绍这种解决方案真正性质的问题。正如CEO Palmer解释的那样：“很多人认为这是放在服务器前面的网络设备，用来设法保护服务器，肯定是基于特征的解决方案。”

他说：“绝对不是。这其实在协议层面上工作，对已知漏洞的根源进行分析，并且在网络上纠正。坦率地说，它对漏洞并不关心，检测不出好流量或者坏流量。它只是让开发商的安全补丁堵住尽可能多的漏洞。”

这种解决方案有很多优点。首先，系统不必随时了解数量众多的漏洞，而是关注数量比较少的漏洞。其次，因为嵌入式补丁代理系统的作用不是阻挡威胁，而是改动TCP流量，因而它不容易产生误报。第三，性能高于基于特征的产品。

渗入虚拟化

软件效率对Blue Lane的技术是关键，该公司即将发布可以在VMware ESX虚拟机管理程序（hypervisor）里面运行的补丁代理系统。作为Blue Lane的早期用户，VMware鼓励Blue Lane把这项技术引入到虚拟化环境。Palmer说：“不用在单个虚拟机上添加任何新的代码或者代理即可保护服务器，这种办法的价值主张正好适合虚拟机管理程序模式。”

Sequeira也认为，虚拟化技术带来了激动人心的发展潜力。他认为Blue Lane大有机会为虚拟环境带来更大的保护力度，这归功于它在分析进出虚拟机管理程序及其虚拟机的流量方面的优势。

Sequeira说：“这就像虚拟服务器可以很快创建实例、并加以部署，安全应当跟进，而且应当实时跟进。”（乐天编译）