击败云悲观主义者:虚拟机安全案例

日期: 2011-10-20 作者:Greg Shields翻译:张冀川 来源:TechTarget中国 英文

从内部基础架构转移至公有云存在风险,但是潜在的回报却非常巨大。一些人不使用公有云完全是因为他们认为云安全并不可信。云反对者的立场未免过于简单,很容易被击败。   云反对者说你应该将虚拟机至于云外,因为云安全问题制约了他们的业务。

更糟的是,云反对者有关虚拟机安全前途暗淡的描述可能会深入IT管理员的内心。   对云安全过于严格的立场渐渐破坏了从虚拟环境迁入云的潜在优势,这些优势包括了计算资源富有弹性以及由规模经济和随时随地进行访问(或者说几乎可以随处访问)所带来的成本降低。   云反对者有关虚拟机安全的论断有时看似理直气壮。“一旦将虚拟机放入云中,便放弃了数据的所有权”是一个很常见的有关云安全的论……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

从内部基础架构转移至公有云存在风险,但是潜在的回报却非常巨大。一些人不使用公有云完全是因为他们认为云安全并不可信。云反对者的立场未免过于简单,很容易被击败。

  云反对者说你应该将虚拟机至于云外,因为云安全问题制约了他们的业务。更糟的是,云反对者有关虚拟机安全前途暗淡的描述可能会深入IT管理员的内心。

  对云安全过于严格的立场渐渐破坏了从虚拟环境迁入云的潜在优势,这些优势包括了计算资源富有弹性以及由规模经济和随时随地进行访问(或者说几乎可以随处访问)所带来的成本降低。

  云反对者有关虚拟机安全的论断有时看似理直气壮。“一旦将虚拟机放入云中,便放弃了数据的所有权”是一个很常见的有关云安全的论断。另一个令所有IT人员内心感到担忧的就是:“云意味着失业。”但是对云安全的关注通常只是对你所不了解的事感到害怕。

  你可以采用以下观点反驳云反对者的论断。

  论点1:云并不适用于所有的虚拟机

  云反对者基于他们自己的立场做了个错误的假设:云计算是一个非此即彼的命题。
 
  他们担心虚拟机数据的安全性,不能够保护敏感的公司资产,其他人可能会窥探他们的数据存储。但是这一论断假设所有的虚拟机必须被同等对待,这意味着所有的虚拟数据必须被同等地保护,而这绝非事实。

  与法规遵从性及数据安全性相关的最佳实践文档建议创建安全岛屿,从逻辑上将敏感的数据与不必在意的数据进行隔离。

  采用这种方式对数据进行隔离,对服务器及服务进行了合乎逻辑的划分,帮助你决定哪些虚拟机在云中运行是有意义的。不必钻研与加密与授权认证有关的技术性会谈,你就可以直接使云反对者对分离敏感虚拟机数据的异议变得无效。

  换句话说,如果你不关心某些虚拟机中的数据,那么有关云安全的论断都是没有实际意义的。

  论点2:安全技术同样适用于云

  就敏感的虚拟机数据而言,实际上虚拟机安全技术已经在用于保护云中的虚拟机了。

  保护基于云的虚拟机的技术(加密和登录身份验证),在数据传输途中(除了传输安全性以外,还有主机和基于hypervisor的防火墙)乃至在处理过程中(借助hypervisor自身的逻辑功能)都已存在。
 
  你可以轻松地将一个虚拟机交付给云提供方,启用该虚拟机的防火墙,只允许其与你所在的网络进行通信,为虚拟机的安全提供合理的保证。以Kerberos协议为例,它能够防止用户登录到域控制器中,防止云供应商窥探你的虚拟机。诸如保护虚拟基础设施中虚拟机数据的高级加密标准同样适用于存储在云中的数据。

  与此同时,专门用于虚拟环境的虚拟机安全工具已经可以扩展到在云中使用。以VMware的vShield安全平台为例,它同时在虚拟环境和云环境中提供了防火墙,加密,安全性,边界保护以及反恶意软件。

  论点3:你可以建立法规遵从性联盟

  云反对者假定你不知道什么可能会伤害到你的虚拟机。你如何得知云提供方正在恰当地履行对你的约定?你如何得知云提供方没有将你的虚拟机迁移到某个令人意想不到的、臭名昭著的国家?你如何确定提供方在遵循保护策略,尤其是当你不被允许直接和他们进行确认时?

  实际上有很多方法可以确保法规遵从性。并不需要直接对法规遵从性进行确认,正如证券交易委员会不会直接对所有公司进行审计一样。他们依靠的是可信的第三方比如会计事务所及其审计员。

  信息技术产业已经开始进行适当的联邦审计以确保云提供方完成了他们承诺提供的相应级别的虚拟机安全性。审计标准说明书70以及最新发布的鉴证业务标准说明书16使用受信的第三方与已经发布的流程相结合以完成联邦审计任务。国际标准化组织的ISO 9001标准定义了策略与策略遵从性。这些策略同时还为问题整治提供了法律基础,涉及的问题整治甚至远远超出了内部安全办公人员飞出办公大楼外访问个人网站。

  将这些审计功能与当今的虚拟机安全技术相结合,你就已经走在通往坚实的云安全的路上了。

  云中无安全的论断失败是因为论断本身在技术上并不是必要的。云不只是个技术;云是一种服务,因此云安全不只包括了简单的身份验证,授权,加密以及访问控制。你必须对云环境进行规划,提供恰当的虚拟机以确保安全性,同时要了解第三方的云安全审计。

  采用非技术的方法确保虚拟机数据的安全性通常比严格地关注比特与字节更加重要。

作者

Greg Shields
Greg Shields

Greg Shields,MCSE(微软认证系统工程师),是Concentrated Technology(www.concentratedtechnology.com)共同创始人和IT技术专家。他拥有近十五年的IT架构和企业管理经验。同时,也是一名IT培训师,并对IT多个技术主题进行演讲,主要包括微软管理、系统管理及监控、虚拟化等。他最近的著作是由SAPIEN出版社出版的《Windows Server 2008: What's New/What's Changed》。

翻译

张冀川
张冀川

TechTarget中国特约专家,任职于某国企信息中心,负责数据中心硬件基础设施及信息系统运维管理工作,对虚拟化及云计算技术有浓厚兴趣,并在工作中积极应用

相关推荐

  • 了解私有云架构的细节

    企业向私有云的迁移代表着应用交付领域的重要趋势,即服务器虚拟化将让位给更强大的云环境。然而,对于这两种技术之间 […]

  • Citrix NetScaler身份验证方法可帮助内部部署企业

    传统用户名和密码组合不再是可靠的身份验证机制,但有方法可使其更加安全。 通过Citrix的NetScaler产 […]

  • 云端电子签约:虚拟世界规则我来塑造

    近日,中国电子签约云平台的领导者 “上上签”以阿里云生态的重要合作伙伴之一的身份参加了由阿里巴巴集团主办的以”飞天 智能”为主题的全球云计算顶级峰会。

  • 《IT新架构》:紧跟时代

    本期主要关注超大规模提供商用来实现服务器利用率提升的云技术和实践最终将流向企业IT商店,这有助于弥补企业数据中心在服务器利用率方面的差距。