虛擬化讓資源邊界變得模糊,動態(tài)擴(kuò)展了計算、存儲、網(wǎng)絡(luò)資源,打破了傳統(tǒng)的物理隔離,使得原有的管理環(huán)境復(fù)雜起來。無論是基礎(chǔ)設(shè)施還是系統(tǒng)架構(gòu),都有可能隨著業(yè)務(wù)需求的變化而加大不確定性,為運(yùn)維提出了新的挑戰(zhàn)。同時,私有云環(huán)境的設(shè)備和系統(tǒng)往往歸屬于不同的廠商,在對接整合時有著不少困難。
例如,當(dāng)兩家大型公司發(fā)生并購交易時,雙方此前要是擁有兩個或以上數(shù)量的私有云,合并后在IT架構(gòu)層面的整合可能長達(dá)數(shù)月。如果再考慮到不同地理位置、不同業(yè)務(wù)單元的對接,相互兼容的時間就會更久。通常,私有云環(huán)境的租用應(yīng)該是唯一的,并且由一個云服務(wù)商來接管,但實際情況并不總是這樣。
私有云對傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的部署造成了挑戰(zhàn),其原因主要在于流量承載和業(yè)務(wù)匹配。流量方面,服務(wù)器利用率的攀升使得端口流量對數(shù)據(jù)中心的網(wǎng)絡(luò)性能和可靠性提出了要求,而各類應(yīng)用在同一臺物理機(jī)上運(yùn)行時,各自對流量的需求模型也是動態(tài)多變的。此外,業(yè)務(wù)虛擬化對虛擬機(jī)的遷移也是有要求的,這就導(dǎo)致原有的安全策略不再適用于新的環(huán)境,需要動態(tài)的匹配機(jī)制。
私有云在桌面端的安全風(fēng)險同樣不容忽視,除了由傳統(tǒng)終端漏洞帶來的潛在威脅,對虛擬化環(huán)境所產(chǎn)生的跨域訪問、多個虛擬機(jī)之間的資源調(diào)用和防護(hù)等仍有不足之處。以上只是VDI的終端風(fēng)險,從系統(tǒng)的層面來看,從服務(wù)器架構(gòu)到傳輸通道,再到客戶訪問權(quán)限,漏洞可能存在于每個細(xì)節(jié)。以用戶層為例,密碼驗證對企業(yè)管理未免過于簡單,常見的方案可以用Ukey與SSLVPN組合認(rèn)證,配合MAC地址的限定,防止非授權(quán)用戶闖入。
私有云的數(shù)據(jù)存儲雖不像公有云那么多變,但也要考慮資源隔離、加密保護(hù)、入侵檢測、數(shù)據(jù)銷毀等問題。對于部分企業(yè)來說,不會關(guān)心數(shù)據(jù)具體放在CSP的哪個虛擬卷或磁盤,這些一般是由后者自行分配的,導(dǎo)致可能出現(xiàn)的情況是,不同保密層級的資源會放在同一個存儲介質(zhì)內(nèi),使得調(diào)用資源時安全級別低的負(fù)載可以“跨級”訪問到高敏感度的信息。
私有云環(huán)境有其特性所在,要依據(jù)實際情況來制定相應(yīng)的解決方案。首先在網(wǎng)絡(luò)架構(gòu)層面,多租戶和多業(yè)務(wù)之間不僅要考慮隔離方案的可行性,還要顧及到網(wǎng)絡(luò)的可擴(kuò)展性,像物理防火墻就不再適用于當(dāng)前資源池的需求。如果采用分布式虛擬化防火墻,就可以對東西向流量進(jìn)行隔離,而縱向流量則可以利用NFV來解決。
存儲方面,除了在數(shù)據(jù)防護(hù)時加強(qiáng)機(jī)密性、完整性、可用性的能力,還要考慮到不同應(yīng)用所采用的加密算法對防護(hù)強(qiáng)度的不一致。通常,數(shù)據(jù)保護(hù)會在主機(jī)系統(tǒng)上完成,再傳輸?shù)酱鎯W(wǎng)絡(luò)中。至于后端檢測,則要與主機(jī)獨(dú)立,即使后者被入侵也能對存儲介質(zhì)進(jìn)行保護(hù)。在企業(yè)內(nèi)部,一般會在關(guān)鍵路徑上部署檢測系統(tǒng),對讀寫操作進(jìn)行抓取、統(tǒng)計、分析,并且建立全域的查錯機(jī)制,對特征庫既要實時更新,也要及時告警。
總的來說,私有云環(huán)境的安全性要做到管理的平臺化和自動化。構(gòu)建了彈性可擴(kuò)展的資源池之后,要借助統(tǒng)一的管理平臺對計算、網(wǎng)絡(luò)、存儲等資源進(jìn)行實時查看,設(shè)置到深入到業(yè)務(wù)邏輯的安全子域和關(guān)系鏈。此外,還要在實現(xiàn)運(yùn)維自動化的同時,考慮到VMware、Xen、華為等平臺的兼容性。