云反对者说你应该将虚拟机至于云外,因为云安全问题制约了他们的业务。更糟的是,云反对者有关虚拟机安全前途暗淡的描述可能会深入IT管理员的内心。
对云安全过于严格的立场渐渐破坏了从虚拟环境迁入云的潜在优势,这些优势包括了计算资源富有弹性以及由规模经济和随时随地进行访问(或者说几乎可以随处访问)所带来的成本降低。
云反对者有关虚拟机安全的论断有时看似理直气壮。“一旦将虚拟机放入云中,便放弃了数据的所有权”是一个很常见的有关云安全的论断。另一个令所有IT人员内心感到担忧的就是:“云意味着失业。”但是对云安全的关注通常只是对你所不了解的事感到害怕。
你可以采用以下观点反驳云反对者的论断。
论点1:云并不适用于所有的虚拟机
云反对者基于他们自己的立场做了个错误的假设:云计算是一个非此即彼的命题。
他们担心虚拟机数据的安全性,不能够保护敏感的公司资产,其他人可能会窥探他们的数据存储。但是这一论断假设所有的虚拟机必须被同等对待,这意味着所有的虚拟数据必须被同等地保护,而这绝非事实。
与法规遵从性及数据安全性相关的最佳实践文档建议创建安全岛屿,从逻辑上将敏感的数据与不必在意的数据进行隔离。
采用这种方式对数据进行隔离,对服务器及服务进行了合乎逻辑的划分,帮助你决定哪些虚拟机在云中运行是有意义的。不必钻研与加密与授权认证有关的技术性会谈,你就可以直接使云反对者对分离敏感虚拟机数据的异议变得无效。
换句话说,如果你不关心某些虚拟机中的数据,那么有关云安全的论断都是没有实际意义的。
论点2:安全技术同样适用于云
就敏感的虚拟机数据而言,实际上虚拟机安全技术已经在用于保护云中的虚拟机了。
保护基于云的虚拟机的技术(加密和登录身份验证),在数据传输途中(除了传输安全性以外,还有主机和基于hypervisor的防火墙)乃至在处理过程中(借助hypervisor自身的逻辑功能)都已存在。
你可以轻松地将一个虚拟机交付给云提供方,启用该虚拟机的防火墙,只允许其与你所在的网络进行通信,为虚拟机的安全提供合理的保证。以Kerberos协议为例,它能够防止用户登录到域控制器中,防止云供应商窥探你的虚拟机。诸如保护虚拟基础设施中虚拟机数据的高级加密标准同样适用于存储在云中的数据。
与此同时,专门用于虚拟环境的虚拟机安全工具已经可以扩展到在云中使用。以VMware的vShield安全平台为例,它同时在虚拟环境和云环境中提供了防火墙,加密,安全性,边界保护以及反恶意软件。
论点3:你可以建立法规遵从性联盟
云反对者假定你不知道什么可能会伤害到你的虚拟机。你如何得知云提供方正在恰当地履行对你的约定?你如何得知云提供方没有将你的虚拟机迁移到某个令人意想不到的、臭名昭著的国家?你如何确定提供方在遵循保护策略,尤其是当你不被允许直接和他们进行确认时?
实际上有很多方法可以确保法规遵从性。并不需要直接对法规遵从性进行确认,正如证券交易委员会不会直接对所有公司进行审计一样。他们依靠的是可信的第三方比如会计事务所及其审计员。
信息技术产业已经开始进行适当的联邦审计以确保云提供方完成了他们承诺提供的相应级别的虚拟机安全性。审计标准说明书70以及最新发布的鉴证业务标准说明书16使用受信的第三方与已经发布的流程相结合以完成联邦审计任务。国际标准化组织的ISO9001标准定义了策略与策略遵从性。这些策略同时还为问题整治提供了法律基础,涉及的问题整治甚至远远超出了内部安全办公人员飞出办公大楼外访问个人网站。
将这些审计功能与当今的虚拟机安全技术相结合,你就已经走在通往坚实的云安全的路上了。
云中无安全的论断失败是因为论断本身在技术上并不是必要的。云不只是个技术;云是一种服务,因此云安全不只包括了简单的身份验证,授权,加密以及访问控制。你必须对云环境进行规划,提供恰当的虚拟机以确保安全性,同时要了解第三方的云安全审计。
采用非技术的方法确保虚拟机数据的安全性通常比严格地关注比特与字节更加重要。