從內(nèi)部基礎(chǔ)架構(gòu)轉(zhuǎn)移至公有云存在風(fēng)險(xiǎn)，但是潛在的回報(bào)卻非常巨大。一些人不使用公有云完全是因?yàn)樗麄冋J(rèn)為云安全并不可信。云反對(duì)者的立場(chǎng)未免過(guò)于簡(jiǎn)單，很容易被擊敗。

　　云反對(duì)者說(shuō)你應(yīng)該將虛擬機(jī)至于云外，因?yàn)樵瓢踩珕?wèn)題制約了他們的業(yè)務(wù)。更糟的是，云反對(duì)者有關(guān)虛擬機(jī)安全前途暗淡的描述可能會(huì)深入IT管理員的內(nèi)心。

　　對(duì)云安全過(guò)于嚴(yán)格的立場(chǎng)漸漸破壞了從虛擬環(huán)境遷入云的潛在優(yōu)勢(shì)，這些優(yōu)勢(shì)包括了計(jì)算資源富有彈性以及由規(guī)模經(jīng)濟(jì)和隨時(shí)隨地進(jìn)行訪問(wèn)(或者說(shuō)幾乎可以隨處訪問(wèn))所帶來(lái)的成本降低。

　　云反對(duì)者有關(guān)虛擬機(jī)安全的論斷有時(shí)看似理直氣壯。“一旦將虛擬機(jī)放入云中，便放棄了數(shù)據(jù)的所有權(quán)”是一個(gè)很常見(jiàn)的有關(guān)云安全的論斷。另一個(gè)令所有IT人員內(nèi)心感到擔(dān)憂的就是：“云意味著失業(yè)。”但是對(duì)云安全的關(guān)注通常只是對(duì)你所不了解的事感到害怕。

　　你可以采用以下觀點(diǎn)反駁云反對(duì)者的論斷。

　　論點(diǎn)1：云并不適用于所有的虛擬機(jī)

　　云反對(duì)者基于他們自己的立場(chǎng)做了個(gè)錯(cuò)誤的假設(shè)：云計(jì)算是一個(gè)非此即彼的命題。

　　他們擔(dān)心虛擬機(jī)數(shù)據(jù)的安全性，不能夠保護(hù)敏感的公司資產(chǎn)，其他人可能會(huì)窺探他們的數(shù)據(jù)存儲(chǔ)。但是這一論斷假設(shè)所有的虛擬機(jī)必須被同等對(duì)待，這意味著所有的虛擬數(shù)據(jù)必須被同等地保護(hù)，而這絕非事實(shí)。

　　與法規(guī)遵從性及數(shù)據(jù)安全性相關(guān)的***實(shí)踐文檔建議創(chuàng)建安全島嶼，從邏輯上將敏感的數(shù)據(jù)與不必在意的數(shù)據(jù)進(jìn)行隔離。

　　采用這種方式對(duì)數(shù)據(jù)進(jìn)行隔離，對(duì)服務(wù)器及服務(wù)進(jìn)行了合乎邏輯的劃分，幫助你決定哪些虛擬機(jī)在云中運(yùn)行是有意義的。不必鉆研與加密與授權(quán)認(rèn)證有關(guān)的技術(shù)性會(huì)談，你就可以直接使云反對(duì)者對(duì)分離敏感虛擬機(jī)數(shù)據(jù)的異議變得無(wú)效。

　　換句話說(shuō)，如果你不關(guān)心某些虛擬機(jī)中的數(shù)據(jù)，那么有關(guān)云安全的論斷都是沒(méi)有實(shí)際意義的。

　　論點(diǎn)2：安全技術(shù)同樣適用于云

　　就敏感的虛擬機(jī)數(shù)據(jù)而言，實(shí)際上虛擬機(jī)安全技術(shù)已經(jīng)在用于保護(hù)云中的虛擬機(jī)了。

　　保護(hù)基于云的虛擬機(jī)的技術(shù)(加密和登錄身份驗(yàn)證)，在數(shù)據(jù)傳輸途中(除了傳輸安全性以外，還有主機(jī)和基于hypervisor的防火墻)乃至在處理過(guò)程中(借助hypervisor自身的邏輯功能)都已存在。

　　你可以輕松地將一個(gè)虛擬機(jī)交付給云提供方，啟用該虛擬機(jī)的防火墻，只允許其與你所在的網(wǎng)絡(luò)進(jìn)行通信，為虛擬機(jī)的安全提供合理的保證。以Kerberos協(xié)議為例，它能夠防止用戶登錄到域控制器中，防止云供應(yīng)商窺探你的虛擬機(jī)。諸如保護(hù)虛擬基礎(chǔ)設(shè)施中虛擬機(jī)數(shù)據(jù)的高級(jí)加密標(biāo)準(zhǔn)同樣適用于存儲(chǔ)在云中的數(shù)據(jù)。

　　與此同時(shí)，專門用于虛擬環(huán)境的虛擬機(jī)安全工具已經(jīng)可以擴(kuò)展到在云中使用。以VMware的vShield安全平臺(tái)為例，它同時(shí)在虛擬環(huán)境和云環(huán)境中提供了防火墻，加密，安全性，邊界保護(hù)以及反惡意軟件。

　　論點(diǎn)3：你可以建立法規(guī)遵從性聯(lián)盟

　　云反對(duì)者假定你不知道什么可能會(huì)傷害到你的虛擬機(jī)。你如何得知云提供方正在恰當(dāng)?shù)芈男袑?duì)你的約定?你如何得知云提供方?jīng)]有將你的虛擬機(jī)遷移到某個(gè)令人意想不到的、臭名昭著的國(guó)家?你如何確定提供方在遵循保護(hù)策略，尤其是當(dāng)你不被允許直接和他們進(jìn)行確認(rèn)時(shí)?

　　實(shí)際上有很多方法可以確保法規(guī)遵從性。并不需要直接對(duì)法規(guī)遵從性進(jìn)行確認(rèn)，正如證券交易委員會(huì)不會(huì)直接對(duì)所有公司進(jìn)行審計(jì)一樣。他們依靠的是可信的第三方比如會(huì)計(jì)事務(wù)所及其審計(jì)員。

　　信息技術(shù)產(chǎn)業(yè)已經(jīng)開(kāi)始進(jìn)行適當(dāng)?shù)穆?lián)邦審計(jì)以確保云提供方完成了他們承諾提供的相應(yīng)級(jí)別的虛擬機(jī)安全性。審計(jì)標(biāo)準(zhǔn)說(shuō)明書70以及***發(fā)布的鑒證業(yè)務(wù)標(biāo)準(zhǔn)說(shuō)明書16使用受信的第三方與已經(jīng)發(fā)布的流程相結(jié)合以完成聯(lián)邦審計(jì)任務(wù)。國(guó)際標(biāo)準(zhǔn)化組織的ISO 9001標(biāo)準(zhǔn)定義了策略與策略遵從性。這些策略同時(shí)還為問(wèn)題整治提供了法律基礎(chǔ)，涉及的問(wèn)題整治甚至遠(yuǎn)遠(yuǎn)超出了內(nèi)部安全辦公人員飛出辦公大樓外訪問(wèn)個(gè)人網(wǎng)站。

　　將這些審計(jì)功能與當(dāng)今的虛擬機(jī)安全技術(shù)相結(jié)合，你就已經(jīng)走在通往堅(jiān)實(shí)的云安全的路上了。

　　云中無(wú)安全的論斷失敗是因?yàn)檎摂啾旧碓诩夹g(shù)上并不是必要的。云不只是個(gè)技術(shù);云是一種服務(wù)，因此云安全不只包括了簡(jiǎn)單的身份驗(yàn)證，授權(quán)，加密以及訪問(wèn)控制。你必須對(duì)云環(huán)境進(jìn)行規(guī)劃，提供恰當(dāng)?shù)奶摂M機(jī)以確保安全性，同時(shí)要了解第三方的云安全審計(jì)。

　　采用非技術(shù)的方法確保虛擬機(jī)數(shù)據(jù)的安全性通常比嚴(yán)格地關(guān)注比特與字節(jié)更加重要。

　　原文鏈接：http://www.searchvirtual.com.cn/showcontent_54166.htm