虛擬化讓資源邊界變得模糊，動態(tài)擴展了計算、存儲、網絡資源，打破了傳統(tǒng)的物理隔離，使得原有的管理環(huán)境復雜起來。無論是基礎設施還是系統(tǒng)架構，都有可能隨著業(yè)務需求的變化而加大不確定性，為運維提出了新的挑戰(zhàn)。同時，私有云環(huán)境的設備和系統(tǒng)往往歸屬于不同的廠商，在對接整合時有著不少困難。

[[406685]]

圖片來自SciTech Daily

企業(yè)加速上云的過程中，私有云亦會為構建在高度虛擬化基礎設施上的工作負載提供服務，這種方案在大規(guī)模云部署的趨勢中仍有相當的份額，尤其是在大型組織內部。當網絡數據流在虛擬機之間傳輸，企業(yè)用戶對敏感信息和高級惡意軟件的監(jiān)視和控制能力會被削弱，此時就要借助關鍵安全控件或外部手段進行干預。私有云，這個在外人看來相對安全的云方案，也有其自身的弱點。

私有云對傳統(tǒng)網絡架構的部署造成了挑戰(zhàn)，其原因主要在于流量承載和業(yè)務匹配。流量方面，服務器利用率的攀升使得端口流量對數據中心的網絡性能和可靠性提出了要求，而各類應用在同一臺物理機上運行時，各自對流量的需求模型也是動態(tài)多變的。此外，業(yè)務虛擬化對虛擬機的遷移也是有要求的，這就導致原有的安全策略不再適用于新的環(huán)境，需要動態(tài)的匹配機制。

私有云在桌面端的安全風險同樣不容忽視，除了由傳統(tǒng)終端漏洞帶來的潛在威脅，對虛擬化環(huán)境所產生的跨域訪問、多個虛擬機之間的資源調用和防護等仍有不足之處。以上只是VDI的終端風險，從系統(tǒng)的層面來看，從服務器架構到傳輸通道，再到客戶訪問權限，漏洞可能存在于每個細節(jié)。以用戶層為例，密碼驗證對企業(yè)管理未免過于簡單，常見的方案可以用Ukey與SSL VPN組合認證，配合MAC地址的限定，防止非授權用戶闖入。

當兩家大型公司發(fā)生并購交易時，雙方此前要是擁有兩個或以上數量的私有云，合并后在IT架構層面的整合可能長達數月。如果再考慮到不同地理位置、不同業(yè)務單元的對接，相互兼容的時間就會更久。通常，私有云環(huán)境的租用應該是唯一的，并且由一個云服務商來接管，但實際情況并不總是這樣。

私有云環(huán)境有其特性所在，要依據實際情況來制定相應的解決方案。首先在網絡架構層面，多租戶和多業(yè)務之間不僅要考慮隔離方案的可行性，還要顧及到網絡的可擴展性，像物理防火墻就不再適用于當前資源池的需求。如果采用分布式虛擬化防火墻，就可以對東西向流量進行隔離，而縱向流量則可以利用NFV來解決。

存儲方面，除了在數據防護時加強機密性、完整性、可用性的能力，還要考慮到不同應用所采用的加密算法對防護強度的不一致。通常，數據保護會在主機系統(tǒng)上完成，再傳輸到存儲網絡中。至于后端檢測，則要與主機獨立，即使后者被入侵也能對存儲介質進行保護。在企業(yè)內部，一般會在關鍵路徑上部署檢測系統(tǒng)，對讀寫操作進行抓取、統(tǒng)計、分析，并且建立全域的查錯機制，對特征庫既要實時更新，也要及時告警。

如今，混合多云已經成為企業(yè)無可回避之下的必然選擇，隨著這場正在開啟的企業(yè)IT架構的全新進化，企業(yè)應該以什么樣的方式和路徑落地混合云成為關鍵。對于已經處于多云環(huán)境的先行者來說，多個云平臺，以及需要在不同的供應商之間跨云平臺及IT 環(huán)境加劇了管理的復雜性。同時多云環(huán)境還對企業(yè)內部IT管理人員提出了更高的要求，要求他們掌握更多的技能，能夠合理制定企業(yè)云戰(zhàn)略，確定優(yōu)先事項等。

相較于私有云建設，混合多云提供了更多的可能性，對于那些上云態(tài)度較為謹慎的客戶來說，也是一種平衡的選擇。