隨著許多企業走上數據中心虛擬化道路，信息安全方面必須及時跟進，以支持這個趨勢。而當數據中心走上私有云道路，信息安全方面同樣需要及時跟進，以滿足私有云基礎設施的要求。

對大多數企業來說，虛擬化將為它們進入到私有云計算階段奠定基礎和墊腳石。然而，對安全的要求絕不可忽視，也不能在向私有云計算遷移的后期階段“事后擴充上去”。

盡管信息安全的基本原則仍然一樣（確保機密性、完整性、加強訪問和驗證等），但是企業配置和交付安全服務的方式必須隨之變化。無論是支持私有云、公共云還是混合云，安全方面都必須變得具有很強的適應性，以支持這種模式：工作負載與底層的物理硬件脫離開來，可以動態分配給一組計算資源。

我與專門研究數據中心的一名同事Tom Bittman列出了私有云安全基礎設施具有的六個必要特性：

1、安全作為一組按需服務來提供。

安全方面需要與時俱進，作為一組“按需”提供的服務來交付，從而在需要工作負載和信息時保護它們，而不是認為信息安全就是一組孤立的安全產品。虛擬化的工作負載在配置、轉移、改動、復制和停用時，相應的安全政策需要在工作負載的整個生命周期都與之伴隨。

2、可編程的基礎設施。

從安全政策管理和政策決定的角度來看，提供這些安全服務的安全基礎設施必須變得“可編程”——通常使用可以充分利用代表性狀態傳輸（REST）協議的應用編程接口（API）。這樣才能帶來更高的自動化級別，讓信息安全專業人員能夠致力于管理安全政策，而不是針對基礎設施進行編程。

3、基于邏輯特性的政策。

安全政策需要與邏輯特性、而不是物理特性緊密地聯系起來。安全政策還必須變得能夠感知上下文，在制定安全決策時結合更加實時的上下文信息，以便更迅速、更準確地評估應該允許還是禁止某一項操作。

4、自適應信任區。

基于邏輯特性的安全政策將用于為具有類似安全需求和信任級別的工作負載創建邏輯群組——我們稱之為“自適應信任區”（adaptive trust zones）。這些信任區必須能夠提供高度保障的多租戶隔離機制，以便隔離具有不同信任級別的工作負載。

5、獨立的控制平面。

企業需要在私有云基礎設施里面明確劃分IT操作團隊和安全團隊各自的職責和任務，這就要求虛擬化和私有云計算平臺供應商提供這種功能：把安全虛擬機的安全政策制定和操作與數據中心其他虛擬機的管理政策制定和操作隔離開來。

6、“可聯合”的政策和身份。

理想情況下，私有云安全基礎設施應該能夠與數據中心中的其他物理安全基礎設施交換和共享（聯合）安全政策；部署在物理和虛擬化基礎設施上的安全控制措施應該能夠智能地協同運行，以檢查工作負載。旨在從企業內部保護工作負載的安全政策應該也能夠與公共云提供商的安全政策聯合起來；不過，目前還沒有用來交換安全政策信息的公認標準，比如防火墻和入侵防護系統（IPS）政策信息，所以這種類型的政策聯合最初會基于專有的聯絡機制，比如VMware公司的vCloud API。

如今靜態的、孤立的安全基礎設施被物理硬件牢牢束縛，無力滿足上述這些動態需求，但會在今后五年有所發展，以支持上述特性。

原文名：Securing Private Clouds Requires Changes to Information Security Infrastructure 作者：Neil MacDonald

【本文乃51CTO精選譯文，轉載請標明出處！】

【編輯推薦】

1. 遷移到私有云：技術選擇和實施問題
2. 剖析：將應用遷移到云的幾種弊端
3. 如何構建私有云：遷移步驟和障礙 
4. 向云計算遷移是否勢在必行？
5. 云計算實戰：小企業如何遷移到云？
6. Spring框架創始人：向云計算的遷移勢在必行
7. 不再猶豫 10種可以遷移到云的應用程序