IaaS云計(jì)算模式：需要注意五大安全問(wèn)題

作者：佚名 2011-08-23 12:11:45

安全

IaaS 在IT領(lǐng)域，云就如同這秋日的高陽(yáng)一樣火熱。不過(guò)，許多IT專家對(duì)云的發(fā)展持謹(jǐn)慎態(tài)度。本文將解析什么是云計(jì)算，并介紹云服務(wù)模式中IaaS所面臨的安全問(wèn)題。

溫泉網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián),溫泉網(wǎng)站設(shè)計(jì)制作，有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為溫泉數(shù)千家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\成都外貿(mào)網(wǎng)站建設(shè)公司要多少錢(qián)，請(qǐng)找那個(gè)售后服務(wù)好的溫泉做網(wǎng)站的公司定做！

在IT領(lǐng)域，云就如同這夏日的驕陽(yáng)一樣火熱。微軟、谷哥、蘋(píng)果、IBM等重量級(jí)“大腕”都志在“云”端，推出了自己不同的云產(chǎn)品和服務(wù)。如此看來(lái)，誰(shuí)要是和云過(guò)不去，簡(jiǎn)直就是自不量力。

不過(guò)，許多IT專家對(duì)云的發(fā)展持謹(jǐn)慎態(tài)度，還有許多人對(duì)于云計(jì)算到底是什么仍存疑惑。但是，云不管你的感覺(jué)如何，它仍在成長(zhǎng)和演變，并且誕生了不同類型的云。有公共云和私有云，甚至混合云。還有不同類型的云服務(wù)：軟件即服務(wù)（SaaS）、基礎(chǔ)架構(gòu)即服務(wù)（IaaS）、平臺(tái)即服務(wù)（PaaS）等。如今，即使技術(shù)人員也發(fā)現(xiàn)自己很難找到通過(guò)“云”的道路。

概念解析

許多人可能已經(jīng)邁出了云計(jì)算的第一步，但是如果你還沒(méi)有的話，不妨從下面幾個(gè)定義開(kāi)始。由美國(guó)國(guó)家科學(xué)和技術(shù)學(xué)會(huì)定義的云計(jì)算，包括以下特性：

按需自助服務(wù)：用戶無(wú)需通過(guò)中間協(xié)調(diào)者，就可以獲得計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)功能；可以通過(guò)自我服務(wù)入口和某種類型的請(qǐng)求中心而實(shí)現(xiàn)。

寬帶網(wǎng)絡(luò)訪問(wèn)：應(yīng)當(dāng)可以從任何位置，并且是從網(wǎng)絡(luò)連接設(shè)備中的任何寬帶陣列來(lái)使用云基礎(chǔ)架構(gòu)中的信息存儲(chǔ)，如從桌面、筆記本、PDA、智能電話、目前及未來(lái)存在的其它設(shè)備。

資源池：計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)資源由更大的資源池來(lái)交付，不同的企業(yè)或單位（稱為多種不同的客戶）可以利用同樣的資源池。這里還存在著位置的獨(dú)立性，每一個(gè)客戶在任何時(shí)點(diǎn)上未必清楚特定資源的位置。

快捷的彈性：用戶可以輕松、快捷地裝備和取消裝備資源。此外，裝備和取消裝備可以根據(jù)策略自動(dòng)完成，因而在不再需要這些資源并要求釋放資源時(shí)，能夠?qū)Y源進(jìn)行分配。

可量測(cè)的服務(wù)：用戶們獲取自己需要的計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)資源，并僅為他們使用的服務(wù)付錢(qián)。

云計(jì)算模式

許多人相信云計(jì)算只不過(guò)是服務(wù)器的虛擬化，但云計(jì)算遠(yuǎn)非僅僅是服務(wù)器的虛擬化。虛擬化在云計(jì)算中扮演著一個(gè)重要的角色，沒(méi)有虛擬化就沒(méi)有云，至少?zèng)]有安全和富有成本效益的云計(jì)算。但是，沒(méi)有云，虛擬化仍會(huì)存在。云計(jì)算是一種交付和消費(fèi)模式，而虛擬化是支持此模式的一種技術(shù)。

云計(jì)算有三種服務(wù)模式：

軟件即服務(wù)（SaaS）：用戶通過(guò)SaaS可以租用所需要的應(yīng)用程序。取得成本一般很低，而委托時(shí)間也是可長(zhǎng)可短。

平臺(tái)即服務(wù)（PaaS）：它不像SaaS，并不向客戶提供已完成的服務(wù)。相反，PaaS提供一種內(nèi)建于云的智能性中的開(kāi)發(fā)平臺(tái)，因而開(kāi)發(fā)人員并不需要擔(dān)心底層的計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)的基礎(chǔ)架構(gòu)。所有的開(kāi)發(fā)人員需要做的就是利用他們已經(jīng)知道如何使用的工具來(lái)開(kāi)發(fā)應(yīng)用程序，然后將其部署給PaaS供應(yīng)商。PaaS供應(yīng)商的云引擎支持需要用于云應(yīng)用程序的核心云能力。

基礎(chǔ)架構(gòu)即服務(wù)（IaaS）：與上兩者不同，IaaS既不提供一種已完成的服務(wù)，也不提供一種開(kāi)發(fā)平臺(tái)。相反，IaaS提供核心計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)的基礎(chǔ)架構(gòu)，在此基礎(chǔ)上，你可以構(gòu)建自己的PaaS或SaaS環(huán)境。從本質(zhì)上講，IaaS通過(guò)利用服務(wù)器和自動(dòng)化，提供了部署云中虛擬化服務(wù)器的一種簡(jiǎn)單方法。

IaaS的安全問(wèn)題

前面我們理清了幾個(gè)基本定義，現(xiàn)在重點(diǎn)看一下關(guān)于IaaS的安全問(wèn)題。多數(shù)管理員非常熟悉IaaS，因?yàn)樗c你的數(shù)據(jù)中心中的現(xiàn)行做法非常類似。為了節(jié)省物理服務(wù)器的占用空間并節(jié)省能源成本，你很可能已經(jīng)部署了某種服務(wù)器的整合計(jì)劃。在服務(wù)器整合后，你可能會(huì)對(duì)IaaS的裝備感興趣，你可以利用自助服務(wù)、自動(dòng)化等云特性，更快捷地訪問(wèn)應(yīng)用程序部署和開(kāi)發(fā)的資源。

但是，在此前之前，你需要思考一下IaaS的安全問(wèn)題。根據(jù)公共云或私有云實(shí)現(xiàn)IaaS的不同，安全問(wèn)題也有所不同。對(duì)私有云而言，你的企業(yè)可以完全控制方案。而對(duì)于公共云中的IaaS，你控制著自己創(chuàng)建的虛擬機(jī)和運(yùn)行在自己創(chuàng)建的虛擬機(jī)上的服務(wù)，但你并不控制底層的計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)基礎(chǔ)架構(gòu)。不管是哪種情形，你都需要考慮一下安全問(wèn)題：

1、數(shù)據(jù)泄露的防護(hù)和數(shù)據(jù)使用的監(jiān)視

2、認(rèn)證和授權(quán)

3、事件響應(yīng)和取證功能（端到端的日志和報(bào)告）

4、基礎(chǔ)架構(gòu)的強(qiáng)化

5、端到端的加密

數(shù)據(jù)泄露的防護(hù)和數(shù)據(jù)使用的監(jiān)視

企業(yè)需要密切地監(jiān)視存儲(chǔ)在公共云和私有云IaaS基礎(chǔ)架構(gòu)中的數(shù)據(jù)。在將IaaS部署在公共云中時(shí)，這一點(diǎn)尤其重要。你需要知道誰(shuí)在訪問(wèn)信息、如何訪問(wèn)（從何種設(shè)備訪問(wèn)）、從何處訪問(wèn)（源IP地址）、在信息被訪問(wèn)之后發(fā)生了什么問(wèn)題（是被轉(zhuǎn)發(fā)給了另外一個(gè)用戶或是被復(fù)制到了另外一個(gè)位置）。

可以通過(guò)利用現(xiàn)代的版權(quán)管理服務(wù)，并對(duì)企業(yè)認(rèn)可的所有關(guān)鍵信息應(yīng)用限制。必須為這種信息創(chuàng)建策略，然后以一種無(wú)需用戶干預(yù)（用戶沒(méi)有責(zé)任決定哪些是關(guān)鍵信息，從而受到限制保護(hù)）的方法來(lái)部署這些策略。此外，你還應(yīng)當(dāng)創(chuàng)建一種透明的過(guò)程，控制誰(shuí)可以訪問(wèn)這種信息，然后為不需要在公司數(shù)據(jù)中心之外長(zhǎng)期存在的敏感信息創(chuàng)建并實(shí)施一種“自我破壞”策略。#p#

認(rèn)證和授權(quán)

為了獲得一個(gè)高效的數(shù)據(jù)丟失防護(hù)（DLP）方案，你還需要強(qiáng)健的認(rèn)證和授權(quán)方法。如今，業(yè)界都認(rèn)可用戶名和口令并非最安全的認(rèn)證機(jī)制。企業(yè)應(yīng)當(dāng)考慮對(duì)需要限制的所有信息實(shí)施雙因素或多因素認(rèn)證。此外，可以考慮根據(jù)你對(duì)IaaS云方案的每一個(gè)供應(yīng)商的信任水平，建立分等級(jí)的訪問(wèn)策略。顯然，對(duì)其它公司的郵件服務(wù)的授權(quán)水平要比對(duì)自己公司的活動(dòng)目錄環(huán)境的授權(quán)水平低得多。你需要將這種分層授權(quán)整合到你的DLP方案中。

端到端的日志和報(bào)告

高效的IaaS部署，無(wú)論是在私有云中還是在公共云中，都要求部署全面的日志和報(bào)告。由于虛擬機(jī)自動(dòng)轉(zhuǎn)換并且在服務(wù)器之間動(dòng)態(tài)地進(jìn)行遷移，你絕對(duì)無(wú)法知道在任何時(shí)點(diǎn)上自己的信息在哪里（在我們關(guān)注存儲(chǔ)虛擬化和動(dòng)態(tài)遷移問(wèn)題時(shí)，這個(gè)問(wèn)題更為有趣）。為了跟蹤信息在哪里、誰(shuí)訪問(wèn)信息、哪些機(jī)器正在處理信息、哪些存儲(chǔ)陣列為信息負(fù)責(zé)等，你需要強(qiáng)健的日志和報(bào)告方案。

日志和報(bào)告方案對(duì)于服務(wù)的管理和優(yōu)化非常重要，在遭受安全損害時(shí)，其重要性更為明顯。日志對(duì)于事件的響應(yīng)和取證至關(guān)重要，而事件發(fā)生后的報(bào)告和結(jié)果將嚴(yán)重地依賴于你的日志基礎(chǔ)架構(gòu)。務(wù)必確保記錄所有的計(jì)算、網(wǎng)絡(luò)、內(nèi)存和外存活動(dòng)，并確保所有的日志都被存儲(chǔ)在多個(gè)安全位置，且極端嚴(yán)格地限制訪問(wèn)。你還應(yīng)確保使用最少特權(quán)原則來(lái)推動(dòng)日志的創(chuàng)建和管理活動(dòng)。

基礎(chǔ)架構(gòu)的強(qiáng)化

你需要確保你的“黃金鏡像”(企業(yè)為每個(gè)目標(biāo)用戶群構(gòu)建的適合其需要的虛擬機(jī)定制桌面)虛擬機(jī)和虛擬機(jī)模板得到強(qiáng)化并保持清潔。在創(chuàng)建鏡像時(shí)，這可以通過(guò)初始系統(tǒng)的強(qiáng)化來(lái)實(shí)現(xiàn)，而且你還可以利用最新技術(shù)，通過(guò)最新服務(wù)和安全更新來(lái)離線地更新鏡像。要確保部署一個(gè)過(guò)程，用以經(jīng)常測(cè)試這些重要鏡像的安全性，確保其不會(huì)偏離你最需要的配置，不管是出于惡意或非惡意目的而對(duì)原始配置做出改變。

端到端的加密

IaaS作為一項(xiàng)服務(wù)，需要充分利用端點(diǎn)到端點(diǎn)之間的加密。確保你利用整盤(pán)加密，這會(huì)確保磁盤(pán)上所有數(shù)據(jù)的安全，而不僅僅是對(duì)用戶的數(shù)據(jù)文件進(jìn)行加密。這樣做還會(huì)防止離線攻擊。除了整盤(pán)加密，還要確保IaaS基礎(chǔ)架構(gòu)中與主機(jī)操作系統(tǒng)（在物理計(jì)算機(jī)(宿主機(jī))上運(yùn)行的操作系統(tǒng)，在它之上運(yùn)行虛擬機(jī)軟件）和虛擬機(jī)的所有通信都要加密。這可以通過(guò)SSL/TLS 或 IPsec實(shí)現(xiàn)。這不僅包括與管理工作站之間的通信，還包括虛擬機(jī)之間的通信（假設(shè)你允許虛擬機(jī)之間的通信）。此外，如果可能，盡可能部署同態(tài)加密等機(jī)制，以保持終端用戶通信的安全。

總結(jié)

云計(jì)算作為一種新的計(jì)算平臺(tái)，絕非僅僅是服務(wù)器的虛擬化，它必將帶來(lái)新的安全威脅。在部署IaaS方案時(shí)，無(wú)論對(duì)于哪朵“云”，都會(huì)有很多安全問(wèn)題需要全面考慮和解決。只有謹(jǐn)慎對(duì)待每一種最新的安全威脅，才能更好地實(shí)現(xiàn)信息安全目標(biāo)。

【編輯推薦】

1. 金山私有云安全解決方案亮相中國(guó)國(guó)際信息節(jié)
2. 虛擬化和私有云成為市場(chǎng)主流 引發(fā)新挑戰(zhàn)
3. RSA中國(guó)大會(huì)張振倫：私有云安全構(gòu)架概覽
4. RSA 2010：EMC、英特爾和VMware聯(lián)手提高私有云安全
5. RSA總裁：公有云本質(zhì)為“私有云” 虛擬化安全可“內(nèi)嵌”

本文題目：IaaS云計(jì)算模式：需要注意五大安全問(wèn)題
轉(zhuǎn)載源于：http://www.dlmjj.cn/article/dhdcigp.html