Gartner表示，從虛擬化數(shù)據(jù)中心向私有云計算基礎(chǔ)架構(gòu)的過渡必須有升級的安全性提供保障。雖然信息安全的基本原則保持不變，但企業(yè)部署和交付安全服務(wù)的方式必須有所改變。Gartner預(yù)測，到2015年，企業(yè)數(shù)據(jù)中心所使用的安全管控措施中將會有40%是虛擬化的，而2010年還不足5%。

　　"對于大多數(shù)企業(yè)，虛擬化將為向私有云計算的演化奠定基礎(chǔ)。" Gartner的副總裁和著名分析師Thomas Bittman稱，"然而，安全需求是不容忽視的，也不能等到轉(zhuǎn)向私有云之后再對其進(jìn)行加強(qiáng)。"

　　Bittman解釋說，不管是保護(hù)物理數(shù)據(jù)中心、虛擬化數(shù)據(jù)中心還是私有云，信息安全基本原則都是不會改變的--確保我們信息和工作負(fù)載的保密性、完整性、認(rèn)證、訪問和審核。但未來，交付安全的方式就會有顯著變化。無論是支持私有云計算、公共云計算亦或是兩者兼而有之，安全都必須適應(yīng)于這樣一種模式--工作負(fù)載與底層物理硬件分離開來，并自動分配到一個計算資源結(jié)構(gòu)。

　　Gartner副總裁和研究員Neil MacDonald表示，與物理屬性（如服務(wù)器、IP地址、MAC地址或其他用于提供隔離的物理主機(jī)分離地址）相關(guān)的策略，都會隨著私有云計算的發(fā)展瓦解。對于大多數(shù)企業(yè)機(jī)構(gòu)，安全控制的虛擬化將為私有云計算架構(gòu)的安全提供基礎(chǔ)，但僅靠它，還不足以創(chuàng)建一個安全的私有云。

　　為了支持安全的私有云計算，其必須包括以下幾個特性：它必須是私有云結(jié)構(gòu)中一個完整但可獨立配置的部分，可設(shè)計成一組按需、彈性且可程序化的服務(wù)項目，還可利用與邏輯屬性緊密關(guān)聯(lián)的策略進(jìn)行配置，以用于創(chuàng)建自適應(yīng)信任區(qū)間來分離多租戶。根據(jù)Macdonald所解釋的，私有云安全框架必須具備以下六種特性：

　　一組按需且具有彈性的服務(wù)項目

　　安全特性應(yīng)該是一組按需交付、用于保護(hù)工作負(fù)載和信息的服務(wù)，而不是作為內(nèi)嵌與物理設(shè)備的單機(jī)安全產(chǎn)品。這些服務(wù)項目需要集成到私有云的供應(yīng)和管理流程中，提供給任何類型的工作負(fù)載--服務(wù)器或臺式機(jī)。隨著工作負(fù)載的分配、移動、修改、復(fù)制及最終的撤銷，適當(dāng)?shù)陌踩呗詫⒇灤┯谒恼麄€生命周期。

　　可編程的架構(gòu)

　　提供安全服務(wù)的安全架構(gòu)必須是"可編程的"--也就是說，這些服務(wù)項目對于編程訪問是開放的。根據(jù)定義，私有云和公共云計算架構(gòu)是用戶基于互聯(lián)網(wǎng)標(biāo)準(zhǔn)使用的。對于可編程的安全架構(gòu)，這些服務(wù)項目通常是使用RESTful API開放的，它們是編程語言和獨立框架。從策略管理和決策點來看，通過API提供安全服務(wù)項目，安全策略執(zhí)行點架構(gòu)變得可編程。這樣的轉(zhuǎn)變使得信息網(wǎng)絡(luò)專家可以專注在管理策略，而不是編程架構(gòu)上。

　　基于邏輯而不是物理屬性的策略，可以將運行環(huán)境納入到實時安全決策

　　安全策略具有自動配置可編程基礎(chǔ)架構(gòu)的特性，這些策略也需要改變。隨著企業(yè)轉(zhuǎn)向虛擬化數(shù)據(jù)中心，之后再轉(zhuǎn)向私有云架構(gòu)，安全策略將更多地與邏輯（而不是物理）屬性相關(guān)聯(lián)。對整個IT堆棧進(jìn)行解耦和提取，繼而遷移至私有云和公共云計算模式，這意味著工作負(fù)載和信息都不再局限于特定的設(shè)備、固定的IP或MAC地址，這也打破了基于物理屬性的靜態(tài)安全策略。為了更快速和精確的判斷所給指令是否應(yīng)該執(zhí)行或拒絕，就必須在安全決策制定時納入更多的實時環(huán)境信息。

　　自適應(yīng)信任區(qū)間能夠高可信的分離不同的信任級別

　　為代替VM (虛擬機(jī))-by-VM基準(zhǔn)的管理安全策略，基于邏輯屬性的安全策略將用于建立信任區(qū)間--具有類似安全要求和信任級別的工作負(fù)載邏輯組。由于策略關(guān)聯(lián)于成群的虛擬機(jī)，而不和物理架構(gòu)關(guān)聯(lián)，所以不管是移動單個虛擬機(jī)，還是在信任區(qū)間引入和分配新工作負(fù)載，這些區(qū)間都會適用于虛擬機(jī)的整個生命周期。私有云架構(gòu)需要安全服務(wù)，并作為核心能力提供不同信任級別工作量的高可信分離。Gartner預(yù)計，到2015年，將有 70%的企業(yè)允許不同信任級別的服務(wù)器工作負(fù)載在數(shù)據(jù)中心內(nèi)共享相同的物理硬件，除非監(jiān)管或?qū)徲嫹ㄒ?guī)明確禁止的地方。

　　分離的可配置安全策略管理和控制

　　安全是不能被削弱的，因為它是虛擬化且被納入到云計算架構(gòu)中。正如當(dāng)今的物理基礎(chǔ)架構(gòu)和虛擬化基礎(chǔ)架構(gòu)一樣，在私有云架構(gòu)中需要強(qiáng)制執(zhí)行IT運營與安全之間職責(zé)和關(guān)注的分離。這種分離發(fā)生在多個層面上。如果軟件控制實現(xiàn)了虛擬化，我們則不能失去在現(xiàn)實世界的職責(zé)分離。這需要虛擬化和私有云計算平臺的供應(yīng)商能夠?qū)踩呗孕畔⒑桶踩摂M機(jī)操作，從管理策略信息和其他數(shù)據(jù)中心虛擬機(jī)的操作中區(qū)分開來。

 1/2    1 2 下一頁 尾頁