IaaS的五大安全问题
IaaS的五大安全问题
2011-08-24 10:51:40 来源:CIO时代网
抢沙发
2011-08-24 10:51:40 来源:CIO时代网
摘要:在IT领域,云就如同这夏日的骄阳一样火热。微软、谷哥、苹果、IBM等重量级“大腕”都志在“云”端,推出了自己不同的云产品和服务。如此看来,谁要是和云过不去,简直就是自不量力。
关键词:
云计算
安全
Iaa
IaaS的安全问题
多数管理员非常熟悉
IaaS,因为它与你的数据中心中的现行做法非常类似。为了节省物理服务器的占用空间并节省能源成本,你很可能已经部署了某种服务器的整合计划。在服务器整合后,你可能会对
IaaS的装备感兴趣,你可以利用自助服务、自动化等云特性,更快捷地访问应用程序部署和开发的资源。
但是,在此前之前,你需要思考一下
IaaS的
安全问题。根据公共云或私有云实现
IaaS的不同,
安全问题也有所不同。对私有云而言,你的企业可以完全控制方案。而对于公共云中的
IaaS,你控制着自己创建的虚拟机和运行在自己创建的虚拟机上的服务,但你并不控制底层的计算、网络和存储基础架构。不管是哪种情形,你都需要考虑一下
安全问题:
1、数据泄露的防护和数据使用的监视
2、认证和授权
3、事件响应和取证功能(端到端的日志和报告)
4、基础架构的强化
5、端到端的加密
数据泄露的防护和数据使用的监视
企业需要密切地监视存储在公共云和私有云
IaaS基础架构中的数据。在将
IaaS部署在公共云中时,这一点尤其重要。你需要知道谁在访问信息、如何访问(从何种设备访问)、从何处访问(源IP地址)、在信息被访问之后发生了什么问题(是被转发给了另外一个用户或是被复制到了另外一个位置)。
可以通过利用现代的版权管理服务,并对企业认可的所有关键信息应用限制。必须为这种信息创建策略,然后以一种无需用户干预(用户没有责任决定哪些是关键信息,从而受到限制保护)的方法来部署这些策略。此外,你还应当创建一种透明的过程,控制谁可以访问这种信息,然后为不需要在公司数据中心之外长期存在的敏感信息创建并实施一种“自我破坏”策略。
认证和授权
为了获得一个高效的数据丢失防护(DLP)方案,你还需要强健的认证和授权方法。如今,业界都认可用户名和口令并非最
安全的认证机制。企业应当考虑对需要限制的所有信息实施双因素或多因素认证。此外,可以考虑根据你对
IaaS云方案的每一个供应商的信任水平,建立分等级的访问策略。显然,对其它公司的邮件服务的授权水平要比对自己公司的活动目录环境的授权水平低得多。你需要将这种分层授权整合到你的DLP方案中。
端到端的日志和报告
高效的
IaaS部署,无论是在私有云中还是在公共云中,都要求部署全面的日志和报告。由于虚拟机自动转换并且在服务器之间动态地进行迁移,你绝对无法知道在任何时点上自己的信息在哪里(在我们关注存储虚拟化和动态迁移问题时,这个问题更为有趣)。为了跟踪信息在哪里、谁访问信息、哪些机器正在处理信息、哪些存储阵列为信息负责等,你需要强健的日志和报告方案。
日志和报告方案对于服务的管理和优化非常重要,在遭受
安全损害时,其重要性更为明显。日志对于事件的响应和取证至关重要,而事件发生后的报告和结果将严重地依赖于你的日志基础架构。务必确保记录所有的计算、网络、内存和外存活动,并确保所有的日志都被存储在多个
安全位置,且极端严格地限制访问。你还应确保使用最少特权原则来推动日志的创建和管理活动。
基础架构的强化
你需要确保你的“黄金镜像”(企业为每个目标用户群构建的适合其需要的虚拟机定制桌面)虚拟机和虚拟机模板得到强化并保持清洁。在创建镜像时,这可以通过初始系统的强化来实现,而且你还可以利用最新技术,通过最新服务和
安全更新来离线地更新镜像。要确保部署一个过程,用以经常测试这些重要镜像的
安全性,确保其不会偏离你最需要的配置,不管是出于恶意或非恶意目的而对原始配置做出改变。
端到端的加密
IaaS作为一项服务,需要充分利用端点到端点之间的加密。确保你利用整盘加密,这会确保磁盘上所有数据的
安全,而不仅仅是对用户的数据文件进行加密。这样做还会防止离线攻击。除了整盘加密,还要确保
IaaS基础架构中与主机操作系统(在物理计算机(宿主机)上运行的操作系统,在它之上运行虚拟机软件)和虚拟机的所有通信都要加密。这可以通过SSL/TLS 或 IPsec实现。这不仅包括与管理工作站之间的通信,还包括虚拟机之间的通信(假设你允许虚拟机之间的通信)。此外,如果可能,尽可能部署同态加密等机制,以保持终端用户通信的
安全。
总结
云计算作为一种新的计算平台,绝非仅仅是服务器的虚拟化,它必将带来新的
安全威胁。在部署
IaaS方案时,无论对于哪朵“云”,都会有很多
安全问题需要全面考虑和解决。只有谨慎对待每一种最新的
安全威胁,才能更好地实现信息
安全目标。
第四十一届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:fanwei
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
