私有雲基礎結構 (IaaS) 的安全性考量題

clip_image002

雲端運算具備更高的靈活性和敏捷性,以及降低營運成本和提升競爭優勢,使得管理人員得以迅速且高效率的建置基礎結構,及專心於軟體開發以推動企業營運。雲端,尤其是私有雲解決了大量問題,但是這些問題當中並不包括安全性。

clip_image003私有雲安全性需求和相關考量因素中,有許多因素也可以在傳統資料中心內找到。但是您仍然需要 保護基礎結構、保護平臺、保護應用程式、保護資料。

但是,在私有雲環境當中,您還需要思考在傳統資料中心內無法看到的相關細節:

  • Hypervisor 安全性 – 在過去,服務通常是運作於各別的實體伺服器之上,在這些服務之間創造了我們大多數人都信任的實體隔離邊界。但是建置私有雲環境之後,大部分或是所有的服務將會在同一個虛擬化環境上運作,您便無法理所當然的認為 Hypervisor 所採用的運作模組就是安全的,您需要評估各種安全模組和 Hypervisor 的開發,並且考慮是否應該採用不同的 Hypervisor 以加強應用程式安全等級。
  • 多個承租用戶 – 大多數人都了解公有雲才提供多個承租用戶的解決方案,您將在其中與雲端服務的其他使用者共用一個運算資源的基礎結構。您的私有雲 IaaS 部署架構可能也是如此。儘管所有承租用戶來自於同一家公司的人員(私有雲是如此定義),但是並非所有承租用戶都願意與其他部門共用基礎結構。例如 研發部門和人資部門是否願意將他們的相關服務,運作在相同的基礎結構之上? 您也需要考慮如何處理私有雲環境中多個承租用戶的分配機制。
  • 身份管理和存取控制 (IdAM) – 在傳統資料中心內,我們習慣使用最流行的 Active Directory 來進行身份驗證。但是導入私有雲環境後,您該如何處理雲端基礎結構的身份驗證和授權機制?您如何處理承租用戶的身份驗證和授權機制? 您如何處理不斷合併環境雲端架構的各方面管理及委派權限? 您如何處理私有雲過渡到混合雲,您如何在混合雲當中使用各種不同的方法來驗證外部供應商,並且使它們具有不同的信任程度?
  • 網路安全 在傳統資料中心當中,我們擁有智慧的 IDS/IPS 資安設備,使我們能夠查看和評估有線網路所傳輸的流量。我們也擁有內部防火牆及大型交換器,以便對於有線(或無線)網路採取各種存取控制機制。但是在私有雲環境當中,運作的服務中有許多元件可能僅僅透過虛擬網路交換器便能互相傳輸資料。此時您將如何檢查這些網路流量? 您將如何採用與實體網路中相同強大的存取控制機制? 您將如何控制服務品質,這是 CIA(機密性、完整性、可用性)安全模型當中“可用性”方面的關鍵問題?
  • 事件及報表 當私有雲環境明顯提高您基礎架構複雜性的同時。管理人員將會採用使用者自助式服務機制來建立及啟動虛擬機器,並且為它們安裝作業系統和服務,而且許多作業系統和服務將連接到私有雲中的其他資源,例如 連接到營運網路上的資源、連接到網際網路上的資源、甚至是您在公有雲中所託管的資源。 您將如何設定事件和報表,以使它們能夠在這些設備被建立時偵測後銷毀它們? 您如何收集和整理這些資訊? 您如何確定哪些資訊是真正“有用”的,並且要如何刪除無用的資訊? 您如何將所收集的資料與自動化系統互相結合,以便進行自動修復任務?

以上這些議題只是您在踏上私有雲旅程時應該考慮的部分問題而以。如果您希望瞭解更多安全性考慮因素和這些問題中可能的解決方案,請參考我向 Microsoft Enterprise Security MVP 所提供的簡報文件。

請按一下 此處 下載該簡報文件。

請讓我們知道您對此簡報文件內容的看法,以及您是否認為有任何應該要包含在內的問題或想法。對於私有雲環境來說,目前仍然處於萌芽階段,這也正是私有雲環境領導者大展拳腳的時機!

謝謝您的閱讀!

Tom

Tom Shinder     
tomsh@microsoft.com 首席知識工程師, SCD iX Solutions Group
Twitter
https://twitter.com/tshinder
Facebook https://www.facebook.com/tshinder

原文連結: https://blogs.technet.com/b/privatecloud/archive/2011/10/12/security-considerations-for-infrastructure-as-a-service-iaas-private-cloud.aspx