當(dāng)部署一個內(nèi)部基礎(chǔ)設(shè)施即服務(wù)（IaaS）云計算時，有一個廣泛的安全性方面的考慮，即企業(yè)不僅必須考慮滿足安全性最佳實踐的要求，而且也應(yīng)符合監(jiān)管的要求。

在本文中，我們將具體討論如何控制虛擬機(jī)實例、管理平臺、以及支持IaaS實施的網(wǎng)絡(luò)與存儲基礎(chǔ)設(shè)施。

 

 

首先，虛擬機(jī)（VM）的操作系統(tǒng)和應(yīng)用程序必須是被鎖定的，同時必須使用現(xiàn)有的規(guī)則進(jìn)行正確的配置，如來自于互聯(lián)網(wǎng)安全中心（CIS）的指導(dǎo)準(zhǔn)則。正確的虛擬機(jī)管理還可能會產(chǎn)生更為健全和一致的配置管理措施。

 

在虛擬機(jī)實例上創(chuàng)建和管理安全配置的關(guān)鍵在于使用模板。管理員為在云計算中初始化所有的虛擬機(jī)而創(chuàng)建一個“黃金鏡像”是非常明智的做法。應(yīng)當(dāng)為這個模板打好基線并執(zhí)行嚴(yán)格的修訂控制措施，以確保所有的補(bǔ)丁和其他更新都能夠及時地得到應(yīng)用。

 

很多虛擬化平臺為確保虛擬機(jī)的安全性都提供了特定的控制措施；企業(yè)用戶當(dāng)然應(yīng)該充分使用好這些功能。例如，VMware公司的虛擬機(jī)配置設(shè)置可特別地限制虛擬機(jī)與底層管理程序之間的復(fù)制和粘貼操作，這一措施可有助于防止敏感數(shù)據(jù)被復(fù)制到管理程序的內(nèi)存和剪貼板。微軟公司和Citrix System公司的平臺產(chǎn)品可提供類似的防復(fù)制粘貼的限制措施。其他的平臺功能可以幫助企業(yè)禁用不必要的設(shè)備、設(shè)置日志記錄參數(shù)等等。

 

此外，當(dāng)確保虛擬機(jī)實例安全性時，請務(wù)必根據(jù)標(biāo)準(zhǔn)數(shù)據(jù)分類原則隔離在不同云計算區(qū)域運(yùn)行的虛擬機(jī)。由于虛擬機(jī)是共享硬件資源的，所以在相同云計算區(qū)域內(nèi)運(yùn)行虛擬機(jī)可能會導(dǎo)致數(shù)據(jù)在內(nèi)存中發(fā)生錯誤，雖然如今這種錯誤發(fā)生的概率是極低的。

 

 

確保虛擬環(huán)境安全性的第二個關(guān)鍵在于確保管理平臺的安全性，這個管理平臺會與虛擬機(jī)交互、配置和監(jiān)控使用中的底層管理程序系統(tǒng)。

 

這些平臺（如VMware vCenter、Microsoft系統(tǒng)中心虛擬機(jī)管理器(SCVMM)以及Citrix XenCenter）都配有他們自己可實施的本地安全控制措施。例如，Vcenter常被安裝在Windows并繼承本地管理員角色而具有系統(tǒng)權(quán)限，除非在安裝過程中相關(guān)角色和權(quán)限被修改。

 

當(dāng)談及管理工具時，確保管理數(shù)據(jù)庫的安全性是最為重要的，但是很多產(chǎn)品的默認(rèn)設(shè)置并不具備內(nèi)在的安全性。最重要的是，必須在管理平臺內(nèi)為不同的運(yùn)營角色分配角色和權(quán)限。雖然很多企業(yè)都擁有一支在IaaS云計算內(nèi)管理虛擬機(jī)運(yùn)行的虛擬化運(yùn)營團(tuán)隊，但是在管理控制臺內(nèi)不授予過多的權(quán)限是其中的關(guān)鍵原則。我建議分別為存儲、網(wǎng)絡(luò)、系統(tǒng)管理及其它團(tuán)隊授予不同的相關(guān)權(quán)限，就如同在傳統(tǒng)數(shù)據(jù)中心環(huán)境中一樣。

 

對于諸如vCloud Director和OpenStack這樣的云計算管理工具，應(yīng)當(dāng)仔細(xì)分配角色和權(quán)限，但其中必須包括云計算虛擬機(jī)的不同最終用戶。例如，開發(fā)團(tuán)隊?wèi)?yīng)當(dāng)擁有用于他們工作任務(wù)的虛擬機(jī)，這些虛擬機(jī)應(yīng)當(dāng)與財務(wù)團(tuán)隊使用的虛擬機(jī)隔離開。

 

所有的管理工具都應(yīng)被隔離在一個單獨的網(wǎng)段中，而要求通過一個“跳箱”或諸如HyTrust這樣的專用安全代理平臺訪問這些系統(tǒng)是一個好主意，在這樣的代理平臺上你可以建立強(qiáng)大的認(rèn)證和集中授權(quán)用戶監(jiān)控。

 

 

雖然確保推進(jìn)IaaS云計算的網(wǎng)絡(luò)和存儲的安全性是一項涉及范圍頗廣的任務(wù)，但還是有一些應(yīng)當(dāng)實施的通用最佳實踐。

 

對于存儲環(huán)境而言，請謹(jǐn)記，如同其他任何的敏感文件一樣，必須保護(hù)好虛擬機(jī)。某些文件存儲有效的內(nèi)存或內(nèi)存快照（可能是最敏感的，如可能包含的用戶憑據(jù)和其他敏感數(shù)據(jù)），以及其他的文件代表系統(tǒng)的完整硬盤。在這兩種情況下，這個文件中都包含了敏感數(shù)據(jù)。在存儲環(huán)境中使用單獨的邏輯單元號(LUNs)和區(qū)/域以隔離不同敏感性的系統(tǒng)，這是至關(guān)重要的。如果存儲區(qū)域網(wǎng)絡(luò)（SAN）級加密功能可用，請考慮它是否適用。

 

在網(wǎng)絡(luò)側(cè)，請務(wù)必確保單個網(wǎng)段是隔離的，并在虛擬本地局域網(wǎng)（VLAN）和訪問控制措施的掌控之下。如果在虛擬環(huán)境下細(xì)粒度安全控制是必須的，那么企業(yè)可以考慮使用虛擬防火墻和虛擬入侵檢測設(shè)備。VMware公司的vCloud平臺本身已集成了其vShield虛擬安全設(shè)施，而傳統(tǒng)網(wǎng)絡(luò)供應(yīng)商的其他產(chǎn)品也是可用的。此外，還應(yīng)考慮敏感虛擬機(jī)數(shù)據(jù)可能以明文傳輸?shù)木W(wǎng)段，如vMotion網(wǎng)絡(luò)。在這個VMware環(huán)境中，明文內(nèi)存數(shù)據(jù)將從一個管理程序傳輸至另一個，從而使敏感數(shù)據(jù)易于泄漏。

 

當(dāng)談及確保虛擬環(huán)境或IaaS私有云計算安全性時，上述控制措施的三個方面只是冰山一角。如需了解更多信息，VMware有一系列深入強(qiáng)化的實用指南以用于評估具體的控制措施，而OpenStack在其網(wǎng)站上提供了一個安全性指南。通過遵循一些基本的做法，企業(yè)可以構(gòu)建他們自己的內(nèi)部IaaS云計算，并確保它們能夠滿足他們自己的標(biāo)準(zhǔn)和所有其他必要的行業(yè)要求。