隨著許多企業(yè)走上數(shù)據(jù)中心虛擬化道路，信息安全方面必須及時跟進(jìn)，以支持這個趨勢。而當(dāng)數(shù)據(jù)中心走上私有云道路，信息安全方面同樣需要及時跟進(jìn)，以滿足私有云基礎(chǔ)設(shè)施的要求。

對大多數(shù)企業(yè)來說，虛擬化將為它們進(jìn)入到私有云計(jì)算階段奠定基礎(chǔ)和墊腳石。然而，對安全的要求絕不可忽視，也不能在向私有云計(jì)算遷移的后期階段“事后擴(kuò)充上去”。

盡管信息安全的基本原則仍然一樣（確保機(jī)密性、完整性、加強(qiáng)訪問和驗(yàn)證等），但是企業(yè)配置和交付安全服務(wù)的方式必須隨之變化。無論是支持私有云、公共云還是混合云，安全方面都必須變得具有很強(qiáng)的適應(yīng)性，以支持這種模式：工作負(fù)載與底層的物理硬件脫離開來，可以動態(tài)分配給一組計(jì)算資源。

我與專門研究數(shù)據(jù)中心的一名同事Tom Bittman列出了私有云安全基礎(chǔ)設(shè)施具有的六個必要特性：

1、安全作為一組按需服務(wù)來提供。

安全方面需要與時俱進(jìn)，作為一組“按需”提供的服務(wù)來交付，從而在需要工作負(fù)載和信息時保護(hù)它們，而不是認(rèn)為信息安全就是一組孤立的安全產(chǎn)品。虛擬化的工作負(fù)載在配置、轉(zhuǎn)移、改動、復(fù)制和停用時，相應(yīng)的安全政策需要在工作負(fù)載的整個生命周期都與之伴隨。

2、可編程的基礎(chǔ)設(shè)施。

從安全政策管理和政策決定的角度來看，提供這些安全服務(wù)的安全基礎(chǔ)設(shè)施必須變得“可編程”——通常使用可以充分利用代表性狀態(tài)傳輸（REST）協(xié)議的應(yīng)用編程接口（API）。這樣才能帶來更高的自動化級別，讓信息安全專業(yè)人員能夠致力于管理安全政策，而不是針對基礎(chǔ)設(shè)施進(jìn)行編程。

3、基于邏輯特性的政策。

安全政策需要與邏輯特性、而不是物理特性緊密地聯(lián)系起來。安全政策還必須變得能夠感知上下文，在制定安全決策時結(jié)合更加實(shí)時的上下文信息，以便更迅速、更準(zhǔn)確地評估應(yīng)該允許還是禁止某一項(xiàng)操作。

4、自適應(yīng)信任區(qū)。

基于邏輯特性的安全政策將用于為具有類似安全需求和信任級別的工作負(fù)載創(chuàng)建邏輯群組——我們稱之為“自適應(yīng)信任區(qū)”（adaptive trust zones）。這些信任區(qū)必須能夠提供高度保障的多租戶隔離機(jī)制，以便隔離具有不同信任級別的工作負(fù)載。

5、獨(dú)立的控制平面。

企業(yè)需要在私有云基礎(chǔ)設(shè)施里面明確劃分IT操作團(tuán)隊(duì)和安全團(tuán)隊(duì)各自的職責(zé)和任務(wù)，這就要求虛擬化和私有云計(jì)算平臺供應(yīng)商提供這種功能：把安全虛擬機(jī)的安全政策制定和操作與數(shù)據(jù)中心其他虛擬機(jī)的管理政策制定和操作隔離開來。

6、“可聯(lián)合”的政策和身份。

理想情況下，私有云安全基礎(chǔ)設(shè)施應(yīng)該能夠與數(shù)據(jù)中心中的其他物理安全基礎(chǔ)設(shè)施交換和共享（聯(lián)合）安全政策；部署在物理和虛擬化基礎(chǔ)設(shè)施上的安全控制措施應(yīng)該能夠智能地協(xié)同運(yùn)行，以檢查工作負(fù)載。旨在從企業(yè)內(nèi)部保護(hù)工作負(fù)載的安全政策應(yīng)該也能夠與公共云提供商的安全政策聯(lián)合起來；不過，目前還沒有用來交換安全政策信息的公認(rèn)標(biāo)準(zhǔn)，比如防火墻和入侵防護(hù)系統(tǒng)（IPS）政策信息，所以這種類型的政策聯(lián)合最初會基于專有的聯(lián)絡(luò)機(jī)制，比如VMware公司的vCloud API。

如今靜態(tài)的、孤立的安全基礎(chǔ)設(shè)施被物理硬件牢牢束縛，無力滿足上述這些動態(tài)需求，但會在今后五年有所發(fā)展，以支持上述特性。

原文名：Securing Private Clouds Requires Changes to Information Security Infrastructure 作者：Neil MacDonald

【本文乃51CTO精選譯文，轉(zhuǎn)載請標(biāo)明出處！】

【編輯推薦】

1. 遷移到私有云：技術(shù)選擇和實(shí)施問題
2. 剖析：將應(yīng)用遷移到云的幾種弊端
3. 如何構(gòu)建私有云：遷移步驟和障礙 
4. 向云計(jì)算遷移是否勢在必行？
5. 云計(jì)算實(shí)戰(zhàn)：小企業(yè)如何遷移到云？
6. Spring框架創(chuàng)始人：向云計(jì)算的遷移勢在必行
7. 不再猶豫 10種可以遷移到云的應(yīng)用程序