| 公司新聞 |
| 行業新聞 |
 |
| 您當前的位置:網站首頁 ->> 行業新聞 |
| 私有云安全風險 不容忽視! | |
| 發布時間:2018-04-10 11:46:44 點擊:2616 次 | |
| 企業加速上云的過程中,私有云亦會為構建在高度虛擬化基礎設施上的工作負載提供服務,這種方案在大規模云部署的趨勢中仍有相當的份額,尤其是在大型組織內部。當網絡數據流在虛擬機之間傳輸,企業用戶對敏感信息和高級惡意軟件的監視和控制能力會被削弱,此時就要借助關鍵安全控件或外部手段進行干預。私有云,這個在外人看來相對安全的云方案,也有其自身的弱點。
虛擬化讓資源邊界變得模糊,動態擴展了計算、存儲、網絡資源,打破了傳統的物理隔離,使得原有的管理環境復雜起來。無論是基礎設施還是系統架構,都有可能隨著業務需求的變化而加大不確定性,為運維提出了新的挑戰。同時,私有云環境的設備和系統往往歸屬于不同的廠商,在對接整合時有著不少困難。 例如,當兩家大型公司發生并購交易時,雙方此前要是擁有兩個或以上數量的私有云,合并后在IT架構層面的整合可能長達數月。如果再考慮到不同地理位置、不同業務單元的對接,相互兼容的時間就會更久。通常,私有云環境的租用應該是唯一的,并且由一個云服務商來接管,但實際情況并不總是這樣。 私有云對傳統網絡架構的部署造成了挑戰,其原因主要在于流量承載和業務匹配。流量方面,服務器利用率的攀升使得端口流量對數據中心的網絡性能和可靠性提出了要求,而各類應用在同一臺物理機上運行時,各自對流量的需求模型也是動態多變的。此外,業務虛擬化對虛擬機的遷移也是有要求的,這就導致原有的安全策略不再適用于新的環境,需要動態的匹配機制。 私有云在桌面端的安全風險同樣不容忽視,除了由傳統終端漏洞帶來的潛在威脅,對虛擬化環境所產生的跨域訪問、多個虛擬機之間的資源調用和防護等仍有不足之處。以上只是VDI的終端風險,從系統的層面來看,從服務器架構到傳輸通道,再到客戶訪問權限,漏洞可能存在于每個細節。以用戶層為例,密碼驗證對企業管理未免過于簡單,常見的方案可以用Ukey與SSLVPN組合認證,配合MAC地址的限定,防止非授權用戶闖入。 私有云的數據存儲雖不像公有云那么多變,但也要考慮資源隔離、加密保護、入侵檢測、數據銷毀等問題。對于部分企業來說,不會關心數據具體放在CSP的哪個虛擬卷或磁盤,這些一般是由后者自行分配的,導致可能出現的情況是,不同保密層級的資源會放在同一個存儲介質內,使得調用資源時安全級別低的負載可以“跨級”訪問到高敏感度的信息。 私有云環境有其特性所在,要依據實際情況來制定相應的解決方案。首先在網絡架構層面,多租戶和多業務之間不僅要考慮隔離方案的可行性,還要顧及到網絡的可擴展性,像物理防火墻就不再適用于當前資源池的需求。如果采用分布式虛擬化防火墻,就可以對東西向流量進行隔離,而縱向流量則可以利用NFV來解決。 存儲方面,除了在數據防護時加強機密性、完整性、可用性的能力,還要考慮到不同應用所采用的加密算法對防護強度的不一致。通常,數據保護會在主機系統上完成,再傳輸到存儲網絡中。至于后端檢測,則要與主機獨立,即使后者被入侵也能對存儲介質進行保護。在企業內部,一般會在關鍵路徑上部署檢測系統,對讀寫操作進行抓取、統計、分析,并且建立全域的查錯機制,對特征庫既要實時更新,也要及時告警。 總的來說,私有云環境的安全性要做到管理的平臺化和自動化。構建了彈性可擴展的資源池之后,要借助統一的管理平臺對計算、網絡、存儲等資源進行實時查看,設置到深入到業務邏輯的安全子域和關系鏈。此外,還要在實現運維自動化的同時,考慮到VMware、Xen、華為等平臺的兼容性。 來源:中國IDC圈 石家莊服務器托管 石家莊服務器租用 石家莊機柜租用 石家莊機房 |
|
| 上一條: 把你的個人隱私翻個底朝天的7種方法 下一條: 安全性能否跟上數據中心轉型的步伐? | |
| 【關閉窗口】 |
