在IT領(lǐng)域，云就如同這夏日的驕陽一樣火熱。微軟、谷哥、蘋果、IBM等重量級“大腕”都志在“云”端，推出了自己不同的云產(chǎn)品和服務(wù)。如此看來，誰要是和云過不去，簡直就是自不量力。

不過，許多IT專家對云的發(fā)展持謹(jǐn)慎態(tài)度，還有許多人對于云計算到底是什么仍存疑惑。但是，云不管你的感覺如何，它仍在成長和演變，并且誕生了不同類型的云。有公共云和私有云，甚至混合云。還有不同類型的云服務(wù)：軟件即服務(wù)（SaaS）、基礎(chǔ)架構(gòu)即服務(wù)（IaaS）、平臺即服務(wù)（PaaS）等。如今，即使技術(shù)人員也發(fā)現(xiàn)自己很難找到通過“云”的道路。

概念解析

許多人可能已經(jīng)邁出了云計算的第一步，但是如果你還沒有的話，不妨從下面幾個定義開始。由美國國家科學(xué)和技術(shù)學(xué)會定義的云計算，包括以下特性：

按需自助服務(wù)：用戶無需通過中間協(xié)調(diào)者，就可以獲得計算、網(wǎng)絡(luò)、存儲功能；可以通過自我服務(wù)入口和某種類型的請求中心而實現(xiàn)。

寬帶網(wǎng)絡(luò)訪問：應(yīng)當(dāng)可以從任何位置，并且是從網(wǎng)絡(luò)連接設(shè)備中的任何寬帶陣列來使用云基礎(chǔ)架構(gòu)中的信息存儲，如從桌面、筆記本、PDA、智能電話、目前及未來存在的其它設(shè)備。

資源池：計算、網(wǎng)絡(luò)和存儲資源由更大的資源池來交付，不同的企業(yè)或單位（稱為多種不同的客戶）可以利用同樣的資源池。這里還存在著位置的獨(dú)立性，每一個客戶在任何時點上未必清楚特定資源的位置。

快捷的彈性：用戶可以輕松、快捷地裝備和取消裝備資源。此外，裝備和取消裝備可以根據(jù)策略自動完成，因而在不再需要這些資源并要求釋放資源時，能夠?qū)Y源進(jìn)行分配。

可量測的服務(wù)：用戶們獲取自己需要的計算、網(wǎng)絡(luò)、存儲資源，并僅為他們使用的服務(wù)付錢。

云計算模式

許多人相信云計算只不過是服務(wù)器的虛擬化，但云計算遠(yuǎn)非僅僅是服務(wù)器的虛擬化。虛擬化在云計算中扮演著一個重要的角色，沒有虛擬化就沒有云，至少沒有安全和富有成本效益的云計算。但是，沒有云，虛擬化仍會存在。云計算是一種交付和消費(fèi)模式，而虛擬化是支持此模式的一種技術(shù)。

云計算有三種服務(wù)模式：

軟件即服務(wù)（SaaS）：用戶通過SaaS可以租用所需要的應(yīng)用程序。取得成本一般很低，而委托時間也是可長可短。

平臺即服務(wù)（PaaS）：它不像SaaS，并不向客戶提供已完成的服務(wù)。相反，PaaS提供一種內(nèi)建于云的智能性中的開發(fā)平臺，因而開發(fā)人員并不需要擔(dān)心底層的計算、網(wǎng)絡(luò)、存儲的基礎(chǔ)架構(gòu)。所有的開發(fā)人員需要做的就是利用他們已經(jīng)知道如何使用的工具來開發(fā)應(yīng)用程序，然后將其部署給PaaS供應(yīng)商。PaaS供應(yīng)商的云引擎支持需要用于云應(yīng)用程序的核心云能力。

基礎(chǔ)架構(gòu)即服務(wù)（IaaS）：與上兩者不同，IaaS既不提供一種已完成的服務(wù)，也不提供一種開發(fā)平臺。相反，IaaS提供核心計算、網(wǎng)絡(luò)、存儲的基礎(chǔ)架構(gòu)，在此基礎(chǔ)上，你可以構(gòu)建自己的PaaS或SaaS環(huán)境。從本質(zhì)上講，IaaS通過利用服務(wù)器和自動化，提供了部署云中虛擬化服務(wù)器的一種簡單方法。

IaaS的安全問題

前面我們理清了幾個基本定義，現(xiàn)在重點看一下關(guān)于IaaS的安全問題。多數(shù)管理員非常熟悉IaaS，因為它與你的數(shù)據(jù)中心中的現(xiàn)行做法非常類似。為了節(jié)省物理服務(wù)器的占用空間并節(jié)省能源成本，你很可能已經(jīng)部署了某種服務(wù)器的整合計劃。在服務(wù)器整合后，你可能會對IaaS的裝備感興趣，你可以利用自助服務(wù)、自動化等云特性，更快捷地訪問應(yīng)用程序部署和開發(fā)的資源。

但是，在此前之前，你需要思考一下IaaS的安全問題。根據(jù)公共云或私有云實現(xiàn)IaaS的不同，安全問題也有所不同。對私有云而言，你的企業(yè)可以完全控制方案。而對于公共云中的IaaS，你控制著自己創(chuàng)建的虛擬機(jī)和運(yùn)行在自己創(chuàng)建的虛擬機(jī)上的服務(wù)，但你并不控制底層的計算、網(wǎng)絡(luò)和存儲基礎(chǔ)架構(gòu)。不管是哪種情形，你都需要考慮一下安全問題：

1、數(shù)據(jù)泄露的防護(hù)和數(shù)據(jù)使用的監(jiān)視

2、認(rèn)證和授權(quán)

3、事件響應(yīng)和取證功能（端到端的日志和報告）

4、基礎(chǔ)架構(gòu)的強(qiáng)化

5、端到端的加密

數(shù)據(jù)泄露的防護(hù)和數(shù)據(jù)使用的監(jiān)視

企業(yè)需要密切地監(jiān)視存儲在公共云和私有云IaaS基礎(chǔ)架構(gòu)中的數(shù)據(jù)。在將IaaS部署在公共云中時，這一點尤其重要。你需要知道誰在訪問信息、如何訪問（從何種設(shè)備訪問）、從何處訪問（源IP地址）、在信息被訪問之后發(fā)生了什么問題（是被轉(zhuǎn)發(fā)給了另外一個用戶或是被復(fù)制到了另外一個位置）。

可以通過利用現(xiàn)代的版權(quán)管理服務(wù)，并對企業(yè)認(rèn)可的所有關(guān)鍵信息應(yīng)用限制。必須為這種信息創(chuàng)建策略，然后以一種無需用戶干預(yù)（用戶沒有責(zé)任決定哪些是關(guān)鍵信息，從而受到限制保護(hù)）的方法來部署這些策略。此外，你還應(yīng)當(dāng)創(chuàng)建一種透明的過程，控制誰可以訪問這種信息，然后為不需要在公司數(shù)據(jù)中心之外長期存在的敏感信息創(chuàng)建并實施一種“自我破壞”策略。#p#

認(rèn)證和授權(quán)

為了獲得一個高效的數(shù)據(jù)丟失防護(hù)（DLP）方案，你還需要強(qiáng)健的認(rèn)證和授權(quán)方法。如今，業(yè)界都認(rèn)可用戶名和口令并非最安全的認(rèn)證機(jī)制。企業(yè)應(yīng)當(dāng)考慮對需要限制的所有信息實施雙因素或多因素認(rèn)證。此外，可以考慮根據(jù)你對IaaS云方案的每一個供應(yīng)商的信任水平，建立分等級的訪問策略。顯然，對其它公司的郵件服務(wù)的授權(quán)水平要比對自己公司的活動目錄環(huán)境的授權(quán)水平低得多。你需要將這種分層授權(quán)整合到你的DLP方案中。

端到端的日志和報告

高效的IaaS部署，無論是在私有云中還是在公共云中，都要求部署全面的日志和報告。由于虛擬機(jī)自動轉(zhuǎn)換并且在服務(wù)器之間動態(tài)地進(jìn)行遷移，你絕對無法知道在任何時點上自己的信息在哪里（在我們關(guān)注存儲虛擬化和動態(tài)遷移問題時，這個問題更為有趣）。為了跟蹤信息在哪里、誰訪問信息、哪些機(jī)器正在處理信息、哪些存儲陣列為信息負(fù)責(zé)等，你需要強(qiáng)健的日志和報告方案。

日志和報告方案對于服務(wù)的管理和優(yōu)化非常重要，在遭受安全損害時，其重要性更為明顯。日志對于事件的響應(yīng)和取證至關(guān)重要，而事件發(fā)生后的報告和結(jié)果將嚴(yán)重地依賴于你的日志基礎(chǔ)架構(gòu)。務(wù)必確保記錄所有的計算、網(wǎng)絡(luò)、內(nèi)存和外存活動，并確保所有的日志都被存儲在多個安全位置，且極端嚴(yán)格地限制訪問。你還應(yīng)確保使用最少特權(quán)原則來推動日志的創(chuàng)建和管理活動。

基礎(chǔ)架構(gòu)的強(qiáng)化

你需要確保你的“黃金鏡像”(企業(yè)為每個目標(biāo)用戶群構(gòu)建的適合其需要的虛擬機(jī)定制桌面)虛擬機(jī)和虛擬機(jī)模板得到強(qiáng)化并保持清潔。在創(chuàng)建鏡像時，這可以通過初始系統(tǒng)的強(qiáng)化來實現(xiàn)，而且你還可以利用最新技術(shù)，通過最新服務(wù)和安全更新來離線地更新鏡像。要確保部署一個過程，用以經(jīng)常測試這些重要鏡像的安全性，確保其不會偏離你最需要的配置，不管是出于惡意或非惡意目的而對原始配置做出改變。

端到端的加密

IaaS作為一項服務(wù)，需要充分利用端點到端點之間的加密。確保你利用整盤加密，這會確保磁盤上所有數(shù)據(jù)的安全，而不僅僅是對用戶的數(shù)據(jù)文件進(jìn)行加密。這樣做還會防止離線攻擊。除了整盤加密，還要確保IaaS基礎(chǔ)架構(gòu)中與主機(jī)操作系統(tǒng)（在物理計算機(jī)(宿主機(jī))上運(yùn)行的操作系統(tǒng)，在它之上運(yùn)行虛擬機(jī)軟件）和虛擬機(jī)的所有通信都要加密。這可以通過SSL/TLS 或 IPsec實現(xiàn)。這不僅包括與管理工作站之間的通信，還包括虛擬機(jī)之間的通信（假設(shè)你允許虛擬機(jī)之間的通信）。此外，如果可能，盡可能部署同態(tài)加密等機(jī)制，以保持終端用戶通信的安全。

總結(jié)

云計算作為一種新的計算平臺，絕非僅僅是服務(wù)器的虛擬化，它必將帶來新的安全威脅。在部署IaaS方案時，無論對于哪朵“云”，都會有很多安全問題需要全面考慮和解決。只有謹(jǐn)慎對待每一種最新的安全威脅，才能更好地實現(xiàn)信息安全目標(biāo)。

【編輯推薦】

1. 金山私有云安全解決方案亮相中國國際信息節(jié)
2. 虛擬化和私有云成為市場主流 引發(fā)新挑戰(zhàn)
3. RSA中國大會張振倫：私有云安全構(gòu)架概覽
4. RSA 2010：EMC、英特爾和VMware聯(lián)手提高私有云安全
5. RSA總裁：公有云本質(zhì)為“私有云” 虛擬化安全可“內(nèi)嵌”