公有云與私有云帶來了新的IT安全需求，數(shù)據(jù)中心團(tuán)隊(duì)需要重新考慮如何處理防火墻、身份管理等問題。

　　云計(jì)算與數(shù)據(jù)中心之間有許多相似點(diǎn)，但團(tuán)隊(duì)管理云服務(wù)，應(yīng)該擴(kuò)展現(xiàn)有的IT安全模式。

[[171356]]

　　在最簡單的模式中，云服務(wù)器是遠(yuǎn)端服務(wù)器或服務(wù)器集群，它們提供某種服務(wù)。當(dāng)?shù)谌?ldquo;擁有”云資源，并處理用戶數(shù)據(jù)時(shí)，這種方式可以被視為公有云。當(dāng)云資源或至少云的一部分包含在公司自己的數(shù)據(jù)中心內(nèi)，它被稱為私有云。兩種模式的混合，數(shù)據(jù)穿梭于兩者之間，被視為混合云。

　　當(dāng)管理員們升級其IT安全模式到云上后——無論是公有或私有云，都有著各種類型的服務(wù)需要保護(hù)。例如，某些企業(yè)網(wǎng)絡(luò)允許用戶通過云存儲服務(wù)存儲數(shù)據(jù)。如果這項(xiàng)服務(wù)是對外開放的，如OneDrive、Google Drive或iCloud，在服務(wù)器前配置防火墻與規(guī)則集，不是個(gè)理想的方式，因?yàn)樾阅芸赡軙艿接绊?。?yīng)該考慮將這些緊密配置的防火墻放在這些服務(wù)器后面，非軍事區(qū)內(nèi)，以增強(qiáng)保護(hù)。

　　身份管理

　　管理員可能通過身份管理來加固數(shù)據(jù)中心安全基礎(chǔ)設(shè)施。很多時(shí)候，身份管理***結(jié)合單點(diǎn)登錄使用，這個(gè)平臺實(shí)現(xiàn)允許用戶通過一套授權(quán)憑據(jù)來訪問一系列不同的系統(tǒng)。例如，VMware的Identity Manager允許管理員通過Active Directory基礎(chǔ)設(shè)施來授予不同用戶訪問不同應(yīng)用程序的權(quán)限，還可以將終端用戶的移動設(shè)備加入域內(nèi)，實(shí)現(xiàn)設(shè)備間信任。當(dāng)有人加入組織，管理員可以通過Identity Manager將她的移動設(shè)備加入域，如果這個(gè)人后來離開了組織，管理員也可以將該移動設(shè)備從域內(nèi)刪除。

　　在云中，身份管理的IT安全模式同樣發(fā)生了變化。負(fù)責(zé)身份管理的系統(tǒng)管理員通常需要對非本地的云資源訪問進(jìn)行授權(quán)。以Salesforce為例，管理員和用戶都訪問相同的云資源，但管理員被授予了更高級的權(quán)限，可以授權(quán)或撤銷其他用戶的權(quán)限。不過，如果Salesforce的某些部分出現(xiàn)故障，系統(tǒng)管理員能采取的措施很少。相反，在傳統(tǒng)的數(shù)據(jù)中心環(huán)境中，系統(tǒng)管理員不僅授權(quán)和撤銷最終用戶的權(quán)限，同樣還需要處理和解決自建數(shù)據(jù)中心基礎(chǔ)設(shè)施內(nèi)的各種問題。

　　電子郵件安全

　　傳統(tǒng)數(shù)據(jù)中心環(huán)境通常都承載了電子郵件服務(wù)器集群，主機(jī)服務(wù)器通常都在某些類型的網(wǎng)絡(luò)防火墻設(shè)備后面，并且運(yùn)行著反病毒軟件。近年來，許多公司已經(jīng)將其電子郵件基礎(chǔ)設(shè)施放置在能夠處理深度包檢測的網(wǎng)絡(luò)防火墻設(shè)備后。

　　確保郵件安全的方法之一，還有基于云的電子郵件檢查，如TrendMicro的Hosted Email Security與Antispam Protection。這種模式下，組織仍然擁有電郵服務(wù)器，但同樣也注冊了TrendMicro的電子郵件域。任何來自組織外部IP網(wǎng)絡(luò)的郵件都會被發(fā)送到TrendMicro的反病毒服務(wù)器上，經(jīng)由***的惡意軟件簽名檢測。如果郵件被視為安全，它將會被發(fā)送到預(yù)期的收件人信箱內(nèi)。

　　虛擬桌面基礎(chǔ)設(shè)施

　　如果公司擁有數(shù)據(jù)中心，提供云服務(wù)并且不向公眾開放，只有授權(quán)人員可以訪問數(shù)據(jù)中心內(nèi)的數(shù)據(jù)。例如，公司可能在某個(gè)數(shù)據(jù)中心內(nèi)維護(hù)著自己的整個(gè)企業(yè)網(wǎng)絡(luò)，而且提供虛擬桌面基礎(chǔ)設(shè)施(VDI)作為服務(wù)。在這種場景下，用戶不是從自己的辦公桌上訪問各自的桌面。相反，他們訪問某個(gè)托管數(shù)據(jù)中心服務(wù)器上的虛擬桌面。從安全角度看，這樣的方式被證明是有利的。例如，管理員可以分配不同的桌面到各個(gè)類型的員工或部門;某種桌面可能適合財(cái)務(wù)與審計(jì)部門，而另一種可能適合市場營銷和銷售。然而，涉及到顆粒度量級的場景，可能會給服務(wù)器造成容量壓力。

　　數(shù)據(jù)中心內(nèi)的VDI場景，管理員管理虛擬環(huán)境，同樣還包括了運(yùn)行虛擬桌面的裸機(jī)服務(wù)器。從這個(gè)角度看，數(shù)據(jù)中心管理員管理更接近物理服務(wù)器，而不是虛擬化環(huán)境。因此，許多傳統(tǒng)的安全機(jī)制，如網(wǎng)絡(luò)防火墻，是可以考慮的設(shè)備，管理員還可能分配不同的物理服務(wù)器來承載不同類型的虛擬桌面負(fù)載。為保護(hù)某些負(fù)載上的敏感數(shù)據(jù)，團(tuán)隊(duì)可能會在不同的VDI部署之間增加防火墻。

　　許多行為可能是數(shù)據(jù)中心與私有或公有云應(yīng)用程序結(jié)合所引發(fā)的連鎖反應(yīng)。確定那些公有或私有云服務(wù)器需要來自自己數(shù)據(jù)中心的支持，并確保自己的基礎(chǔ)設(shè)施與IT安全模式——包括權(quán)限，針對每個(gè)服務(wù)都進(jìn)行了適當(dāng)?shù)脑O(shè)置。