基础结构即服务 (IaaS) 私有云的安全考虑因素

原文链接:http://blogs.technet.com/b/privatecloud/archive/2011/10/12/security-considerations-for-infrastructure-as-a-service-iaas-private-cloud.aspx 云计算在更高的灵活性和敏捷性、潜在的成本节省和竞争优势方面对开发人员做出了众多承诺,使他们可迅速高效地搭建一种基础结构,开发软件来推动业务成功。云,尤其是私有云解决了大量问题,但这些问题中不包括安全性。 私有云安全需求和考虑因素中有许多也可以在传统数据中心内找到。您仍然需要保护基础结构,仍然需要保护平台,仍然需要保护应用程序,以及仍然需要保护数据。 但是,在私有云环境中,您还需要思考在传统数据中心内并不总是能看到的一些事情:  虚拟机监控程序安全性 – 在过去,服务通常托管在各个服务器上,这在这些服务之间创造了我们大多数人都信任的物理边界。使用私有云,大部分或所有这些服务将在一个虚拟化环境中运行,您无法理所当然地认为虚拟机监控程序所使用的安全模型就是安全的,您需要评估各种安全模型和虚拟机监控程序的开发,考虑是否应该基于不同虚拟机监控程序的相对安全性来对应用程序进行分级。 多租户 – 我们大多数人都认为公共云将是多租户解决方案,您将在其中与云服务的其他用户共享一个共用资源的资源基础结构。您的私有云 IaaS 部署可能也是如此。尽管所有租户将来自同一公司(私有云是这么定义的),但不是所有租户都愿意与同一公司内的其他部门共享基础结构。例如,研发部门和人力资源部门是否愿意将他们的服务托管在与测试或宣传部门相同的基础结构上?您将需要考虑如何处理私有云环境中的多租户机制。 身份管理和访问控制 (IdAM) – 在传统数据中心中,我们习惯了必须使用少量的身份验证存储库 –Active Directory 就是最流行的一个。但使用私有云,您如何处理云基础结构的身份验证和授权?您将如何处理租户的身份验证和授权?您将如何处理在不断合并环境的云结构的各个方面的管理权委托?以及您将如何处理私有云向混合云的演化,您将在混合云中使用各种联盟方法和外部身份提供商,它们具有不同的信任度? 网络安全 – 在传统数据中心中,我们拥有复杂的网络 IDS/IPS 设备,它们使我们能够查看和评估有线传输的流量。我们还拥有内部防火墙或高级交换机,对有线(或无线)网络实现了各种访问控制水平。在我们的私有云中,我们的一个服务的许多组件可能仅通过虚拟网络通道彼此通信。您将如何评估这些流量?您将如何采用与物理网络中相同的强大的访问控制?以及您将如何控制服务质量,这是 CIA(机密性、完整性和可用性)安全模型的“可用性”方面的一个关键问题? 事件和报告 – 私有云(尽管支持您的许多业务小组)将可能显著提高您的整体计算基础结构的复杂性。团队将使用自助服务门户启动虚拟机,它们将安装操作系统和服务,而且许多操作系统和服务将连接到私有云中的其他资源,连接到您的生产网络上的资源,连接到Internet 上的资源以及甚至在您的公共云中托管的资源。您将如何设置事件和报告基础结构,使它能够在所有这些设备被实例化时感知它们,然后销毁它们?您将如何收集和整理此信息?您将如何确定哪些信息“有趣”,并如何删除无趣的干扰信息?您将如何将您收集的智能数据与自动化系统相集成,以便自动进行修复? 这些只是您在踏上私有云旅程时应该考虑的一部分问题。如果您希望了解更多考虑因素和这些问题的一些可能的解决方案,请查阅我向 Microsoft Enterprise Security MVP 提供的这篇演示文稿。 单击此处下载该演示文稿。 请让我们知道您对该演示文稿的想法,以及您是否认为有任何应该包含在内的问题或想法。对于私有云,我们仍然处在变革阶段,现在正是私有云社区中的思想领导者大展拳脚的时机! 谢谢! Tom Tom Shinder tomsh@microsoft.com 首席知识工程师,SCD iX Solutions Group 在 Twitter 上关注我:https://twitter.com/tshinder Facebook:http://www.facebook.com/tshinder


欢迎访问私有云解决方案中心

原文链接:http://blogs.technet.com/b/privatecloud/archive/2011/10/13/welcome-to-private-cloud-solutions-hub.aspx 嗨,私有云体系结构爱好者们,我带来了一些好消息 – 私有云解决方案中心现已上线并可供你们访问。我们的私有云解决方案中心的目标是提供这样一个位置,你们可以在其中找到所有必要的私有云体系结构信息来优化私有云部署。 因为私有云解决方案中心是全新的,我想向你们介绍一下网站的各个部分,讲讲它们的内容和我们的想法。我还想让你们思考一下我们的计划和我们已完成的工作,让我们知道你们是否认为应该添加、删除、改进或更改一些内容。 你们可以通过 tomsh@microsoft.com 向我发邮件或在本博客文章末尾添加评论。当有评论时我会获得此博客的源并获悉该评论,并将非常迅速地回复你们!(你们一定会惊讶我的速度) “特色文章”部分 “特色文章”部分将始终包含 3 篇文章——左侧的主要文章始终存在,因为这是我们的主要页面,它链接到我们为私有云收集的所有体系结构参考材料。在“特色文章”部分的右侧,将有两篇“每周文章”。每一周我们都会使用两篇新文章代替旧文章,使“特色文章”部分每周刷新并为你们提供新的价值。在“特色文章”部分的底部,是 Microsoft 私有云营销内容的一个链接,你们将会在这里找到很多有用的信息,包括案例分析、成功故事、白皮书,以及你们在开始学习 Microsoft 私有云时可以使用的其他大量内容。 私有云体系结构库 你们会在“私有云体系结构”库中找到我们的大部分内容。库的“堆栈”由 7 个选项卡表示: 入门 – “入门”选项卡包含的内容会帮助你们快速了解私有云和私有云体系结构。一些概述文章可帮助理解私有云,向你们介绍私有云的术语、概念和目标。如果你们还不熟悉私有云,那么可从这些文章入手。 体系结构 – “体系结构”选项卡包含许多文章,它们将介绍设计良好的私有云解决方案的主要体系结构概念和需求。你们将在这里找到的内容示例包括“私有云体系结构原理、模式和概念”和“基础结构即服务的私有云规划指南”。这部分体系结构内容将帮助你们透彻地理解支撑成功的私有云部署的体系结构,这对对私有云感兴趣的每个人都有用。 IaaS – “IaaS”选项卡专门介绍基础结构即服务的云服务交付模型。了解了私有云体系结构之后,你们就可以理解构建一个设计良好的基础结构即服务解决方案的必备要素了。你们将在这里找到的内容示例包括“IaaS:服务交付模式”和“IaaS:物理平台”。IaaS 是所有私有云部署的基础,所以在 IaaS 中拥有牢固的基础至关重要 – 此选项卡上的信息将帮助你们实现此目的。 安全 – “安全”选项卡包含与私有云的安全考虑因素相关的信息。安全是一个贯穿各领域的问题,它将自身融入到了私有云解决方案的所有体系结构组件中。你们将在这部分中找到的信息示例包括“私有云的安全”和“云中的身份认证和访问管理”。尽管私有云的许多安全需求与传统数据中心相同,但有一些是私有云所独有的,所以你们将需要确保拥有良好的私有云安全基础,以便你们的私有云比当前基于 LAN 的数据中心更安全。 管理 – “管理”选项卡包含你们管理高效的私有云部署所需了解的信息。你们将在这里找到的信息示例包括“管理私有云”和“监视数据中心环境概述”。管理一个可能很复杂的私有云基础结构的能力至关重要,这部分中的信息旨在帮助你们管理这一复杂性。 基础结构 – “基础结构”选项卡包含的资料将有助于你们理解为私有云提供支持的物理基础结构。你们将在这里找到的内容示例包括“核心服务器基础结构”和“私有云的网络体系结构”。在开始实施构建私有云的计划之前,必须很好地掌握私有云所需的物理基础结构。 服务管理 – “服务管理”选项卡包含与管理通过私有云提供的服务相关的文章和其他类型的内容。服务交付是私有云的一个核心原则,所以此内容受到了特别多的关注,因为你们会将思维从关注基础结构和操作(并持续发展)转变为服务提供商。你们将在这部分中找到的内容示例包括“云的服务目录管理”和“云的容量管理”。 所以这些是我们现在在私有云体系结构库中拥有的“堆栈”。我应该澄清,目前我们的主要关注点在私有云体系结构上。这有许多原因,但最重要的原因是,甚至在思考构建生产的私有云部署之前,就需要牢固掌握为私有云提供支撑的体系结构。它就像在你们城市中建造房子和办公大楼一样,而没有建筑规范。 毫无疑问,你们可以这么做,甚至一些房子和办公大楼将会很安全且很有吸引力。但你们所在区域也很有可能出现大量不安全和没有吸引力的住宅和商业大楼。可将私有云体系结构内容视为有助于确保安全、高质量的私有云部署的“建筑规范”。 鉴于上述因素,这个网站的名称为私有云解决方案中心 – “解决方案”表示我们端到端地实现了私有云,其中包含实现信息。随着时间的推移,私有云解决方案中心将推出新的选项卡,包含构建基于私有云的解决方案的信息。我们知道你们也想要这些信息,向你们提供该指南是我们的职责。 “社区”部分 “社区”部分包含两个子部分: 每周社区内容…


私有云的自动结构修补功能

原文链接:http://blogs.technet.com/b/privatecloud/archive/2011/10/21/automated-fabric-patching-for-the-private-cloud.aspx 谈到私有云,结构无疑是云解决方案有别于传统数据中心的最独特部分。我们在 Private Cloud Architecture 博客上以前的文章中已介绍过私有云结构,比如 Yung Chou 编写的 System Center Virtual Machine Manager (VMM) 2012 as Private Cloud Enabler (2/5): Fabric, Oh,Fabric。 但是,所有私有云解决方案还有另一个主要功能,那就是强大且无处不在的自动化。拥有不包含自动结构修补功能的高度自动化私有云部署可能没多大意义。 为了帮助我们解决此问题,Michel Luescher 分享了他的“自动结构修补(Automated Fabric Patching)”方法,该方法利用了 System Center Virtual Machine Manager、System Center Operations Manager、System Center Orchestrator 和 Windows Hyper-V。 Michel 在本文中进行了介绍,它重点介绍了一些主要功能,提供了一个框架来帮助在未来实现自动结构修补。如果您对 Michel 的方法有任何疑问,欢迎您通过邮件将问题发送到 tomsh@microsoft.com,我会将它们转发给 Michel。 最后,您对私有云感兴趣吗?您是否有一些关于私有云的想法、见解、经验和成绩?那么为什么不在私有云体系结构社区中分享它们并发表一篇文章?您只需将文章通过 tomsh@microsoft.com发送给我,我会审校该文章,进行一些编辑,可能还会向您询问一些问题,然后将它返回给您检查。如果您感到满意,我会将它发布到博客上!我还会包含您的照片和您希望包含的任何联系信息。而且您将成为“网络名人”,可以向您的父母炫耀您已在 Private Cloud Architecture 博客上发表了文章!没有比这更好的了。谢谢! 谢谢!–Tom…


私有云介绍第 1 部分 – 操作层

原文链接:http://blogs.technet.com/b/privatecloud/archive/2011/10/10/the-journey-to-the-private-cloud-part-1-the-operations-layer.aspx 私有云博客与社区密切相关,我很高兴地告诉大家,许多来自社区的人员已开始在这里分享他们关于私有云的知识。本周我们将介绍 Vincent Montalbano 编写的一篇不错的博客文章,介绍操作层在私有云体系结构和设计中的重要性。 操作层定义提供信息技术 (IT) 即服务所需的操作流程和过程。这个层利用了 IT 服务管理概念,可在流行的最佳实践(比如 ITIL 和 MOF)中找到这些概念。操作层的主要关注点是执行在服务交付层定义的业务需求。类似云的服务属性无法单独通过技术来实现,需要较高水平的 IT 服务管理成熟度。 Vincent 出色地提炼出了您在使用私有云操作层时需要理解的关键概念。阅读了 Vincent 的博客后,一定要阅读私有云操作规划指南。 请尽情阅览吧!– Tom Shinder,私有云爱好者。 私有云介绍第 1 部分 – 操作层 作者:Vincent Montalbano 几个月来,一直有一个主题主导着我们的日常讨论,那就是“私有云”。我们看到云成为了电视广告和网络广告中的主角。我们观看网络研讨会并阅读文章来了解云和云可以完成的所有真正有趣的事情,然后我们扪心自问,“我们如何在自己的数据中心内实现云”? 什么是“云” 您的环境中必须具有以下 5 个“特征”,才可成为云计算。我扩展了这些特征,包含了一些非常笼统的示例。 按需服务 – 在无人为干预的情况下为经过批准的用户配备服务或资源的能力。 广泛的网络访问 – 经过验证的用户通过计算机、平板电脑或智能电话从任何地方访问必要资源的能力。 资源池 – 服务器、存储和网络资源组合到一个结构中,供基础架构中的所有服务共享。 快速恢复 – 快速添加或减少服务或资源的能力。 计量服务 – 结算用户使用的服务或资源的能力。 这 5 个特征由美国国家标准与技术研究院 (NIST) 定义。提供云的这些元素的能力需要全面审查您当前的 IT 基础架构和恰当地规划,以创建将帮助您实现私有云的路线图。要初步实现云,您必须计划实现每个需要的“元素”。…