盡管公眾一直誤以為私有云是安全的,事實(shí)上，私有云并不是絕對(duì)安全的，因?yàn)樗撬接械?。要想保證私有云的安全，必須要制定完善的計(jì)劃，并且進(jìn)行經(jīng)常性檢查，才能保證私有云安全，避免出現(xiàn)損失。

[[118446]]

要想確保私有云安全，首先應(yīng)該檢查私有云所在網(wǎng)絡(luò)的安全性。根據(jù)特定的私有云的性質(zhì),有多種檢查形式。然而，針對(duì)大多數(shù)網(wǎng)絡(luò)，協(xié)議和檢查是最常見的。

維護(hù)私有云安全，第一步是計(jì)劃。在計(jì)劃階段，執(zhí)行協(xié)議和程序，訪問私有云中的數(shù)據(jù)。如果僅僅訪問云內(nèi)部，顯然，公司必須確保這些服務(wù)不能被外部訪問。但是，如果員工處在公司的外部網(wǎng)絡(luò)，訪問私有云資源，決定如何獲得數(shù)據(jù)，并將身份驗(yàn)證機(jī)制落實(shí)到位變得很重要。此外，如果有限制的話，還要確定哪些資源需要設(shè)置訪問限制。如果幾個(gè)人正在同時(shí)訪問資源,創(chuàng)建多個(gè)虛擬機(jī)(VM)，運(yùn)行多個(gè)應(yīng)用程序，那么，私有云可能會(huì)過載，私有云的安全性可能會(huì)受到威脅。因此，提前制定計(jì)劃，降低這種風(fēng)險(xiǎn)，執(zhí)行協(xié)議。

當(dāng)構(gòu)建私有云或者公共云時(shí)，公司要保證配備專門的安全人員來降低風(fēng)險(xiǎn)。安全人員負(fù)責(zé)保護(hù)運(yùn)行環(huán)境，在發(fā)生災(zāi)難性事件時(shí)，能夠隨時(shí)做好應(yīng)對(duì)的準(zhǔn)備。

測(cè)試私有云的安全性

在物理機(jī)器上進(jìn)行周期性Wireshark或TShark捕捉，物理機(jī)器覆蓋著虛擬基礎(chǔ)設(shè)施。一旦管理員大概了解哪些類型的流量能夠進(jìn)出網(wǎng)絡(luò)，哪些類型的流量不能夠進(jìn)出網(wǎng)絡(luò)，那么，他們就可以很容易編寫腳本。開發(fā)一個(gè)關(guān)于什么是正常網(wǎng)絡(luò)行為的基線，也是一個(gè)好方法。例如，如果網(wǎng)絡(luò)管理員知道自己的私有云不具備DHCP服務(wù)器，然而，他們?cè)赪ireshark捕獲看到“提供DHCP”的信息，進(jìn)一步調(diào)查是至關(guān)重要的。

當(dāng)在私有云環(huán)境中使用Wireshark時(shí)，一定要確保從一個(gè)主機(jī)完成捕獲。這樣能更全面的捕獲網(wǎng)絡(luò)流量，而不是簡(jiǎn)單地從虛擬機(jī)內(nèi)部捕獲流量。

此外,經(jīng)常進(jìn)行系統(tǒng)日志的檢查，因?yàn)檫@些日志屬于私有云環(huán)境。有很多硬件設(shè)備和軟件應(yīng)用程序，執(zhí)行自動(dòng)的日志分析，完成報(bào)警觸發(fā)和警報(bào)消息。例如，如果一個(gè)人在周六下午2點(diǎn)試圖登錄到私有云，這可能被自動(dòng)化系統(tǒng)視為是不合法的。然而，這些系統(tǒng)也是由人類創(chuàng)建的，這些系統(tǒng)永遠(yuǎn)不可能完全取代一個(gè)經(jīng)驗(yàn)豐富的人員，能夠察覺到異常。因此，一個(gè)有經(jīng)驗(yàn)的專業(yè)人士進(jìn)行經(jīng)常性檢查是必要的。

轉(zhuǎn)移到公共云值得嗎?

許多組織移動(dòng)到公共云，因?yàn)樾遁d云基礎(chǔ)設(shè)施的成本和維護(hù)云基礎(chǔ)設(shè)施的責(zé)任，值得組織付出時(shí)間和金錢。但是,從安全性的角度考慮，移動(dòng)到公共云是最好的方式嗎?答案既是肯定的又是否定的。

許多公司認(rèn)為，不會(huì)受到DOS攻擊和其他形式的攻擊，因?yàn)楣镜幕A(chǔ)設(shè)施存在于Amazon Web服務(wù)龐大的數(shù)據(jù)中心之一。如果組織的基礎(chǔ)設(shè)施被攻擊者攻擊，那么提供商對(duì)此承擔(dān)責(zé)任。然而，在周末，公司將應(yīng)該設(shè)置呼叫系統(tǒng)，安排網(wǎng)絡(luò)管理員，投入大量的時(shí)間和資源，從而避免私有云受到攻擊。

公共云的優(yōu)勢(shì)

另一方面,決定移動(dòng)到公共云的公司——如果有的話——很少知道數(shù)據(jù)存放在哪，以及如何處理這些數(shù)據(jù)。當(dāng)公司使用公共云，沒有公共云所在物理機(jī)器的root訪問權(quán)限。因此，懷有不良企圖的人，如果具有root訪問權(quán)限，就能夠訪問給定的盒子，摧毀一個(gè)公司的數(shù)據(jù)?，F(xiàn)在，公共和私有云仍然有利弊。