云计算颠覆性的将用户数据放到“云”中,这给一向喜欢掌握数据的用户带来的惊恐,不逊于把自己扒光了放到大庭广众之中。这原本没有什么坏处,毕竟,数据安全问题再怎么小心也不为过。然而,在私有云倡导者的鼓吹下,业界更多的将云安全的质疑投向了公共云服务,安全问题反而成了私有云的一个光环。这是一个典型的误区,私有云的安全同样不能忽视!至少,在私有云的安全问题上我们要注意以下几点内容:
1、安全作为一组按需服务来提供
安全方面需要与时俱进,作为一组“按需”提供的服务来交付,从而在需要工作负载和信息时保护它们,而不是认为信息安全就是一组孤立的安全产品。虚拟化的工作负载在配置、转移、改动、复制和停用时,相应的安全政策需要在工作负载的整个生命周期都与之伴随。
2、让基础设施可编程
从安全政策管理和政策决定的角度来看,提供这些安全服务的安全基础设施必须变得“可编程”——通常使用可以充分利用代表性状态传输(REST)协议的应用编程接口(API)。这样才能带来更高的自动化级别,让信息安全专业人员能够致力于管理安全政策,而不是针对基础设施进行编程。
3、安全政策要与逻辑特性联系起来
安全政策需要与逻辑特性、而不是物理特性紧密地联系起来。安全政策还必须变得能够感知上下文,在制定安全决策时结合更加实时的上下文信息,以便更迅速、更准确地评估应该允许还是禁止某一项操作。
4、安全机制可分级别分群组
基于逻辑特性的安全政策将用于为具有类似安全需求和信任级别的工作负载创建逻辑群组——我们称之为“自适应信任区”(adaptive trust zones)。这些信任区必须能够提供高度保障的多租户隔离机制,以便隔离具有不同信任级别的工作负载。
5、将IT操作和安全隔离开
企业需要在私有云基础设施里面明确划分IT操作团队和安全团队各自的职责和任务,这就要求虚拟化和私有云计算平台供应商提供这种功能:把安全虚拟机的安全政策制定和操作与数据中心其他虚拟机的管理政策制定和操作隔离开来。
6、安全措施要能与物理安全设施交换和共享
理想情况下,私有云安全基础设施应该能够与数据中心中的其他物理安全基础设施交换和共享(联合)安全政策;部署在物理和虚拟化基础设施上的安全控制措施应该能够智能地协同运行,以检查工作负载。旨在从企业内部保护工作负载的安全政策应该也能够与公共云提供商的安全政策联合起来;不过,目前还没有用来交换安全政策信息的公认标准,比如防火墙和入侵防护系统(IPS)政策信息,所以这种类型的政策联合最初会基于专有的联络机制,比如VMware公司的vCloud API。
以上这些安全要求,有一部分在现阶段达到标准有不小的难度,但如果要让私有云健康稳定的发展,这些问题必须解决。相信在可预见的时间内,这些会成为合格私有云解决方案的最基础的实施要点儿。
【声明】锋云网原创文章,欢迎转载,但请注明出处(锋云网 http://w-w.cn)和原文链接。