哈爾濱中軟分享：私有雲安全風險 不容忽視

企業加速上雲的過程中，私有雲亦會為構建在高度虛擬化基礎設施上的工作負載提供服務，這種方案在大規模雲部署的趨勢中仍有相當的份額，尤其是在大型組織內部。當網路數據流在虛擬機之間傳輸，企業用戶對敏感信息和高級惡意軟體的監視和控制能力會被削弱，此時就要藉助關鍵安全控制項或外部手段進行干預。私有雲，這個在外人看來相對安全的雲方案，也有其自身的弱點。

虛擬化讓資源邊界變得模糊，動態擴展了計算、存儲、網路資源，打破了傳統的物理隔離，使得原有的管理環境複雜起來。無論是基礎設施還是系統架構，都有可能隨著業務需求的變化而加大不確定性，為運維提出了新的挑戰。同時，私有雲環境的設備和系統往往歸屬於不同的廠商，在對接整合時有著不少困難。

例如，當兩家大型公司發生併購交易時，雙方此前要是擁有兩個或以上數量的私有雲，合併後在IT架構層面的整合可能長達數月。如果再考慮到不同地理位置、不同業務單元的對接，相互兼容的時間就會更久。通常，私有雲環境的租用應該是唯一的，並且由一個雲服務商來接管，但實際情況並不總是這樣。

私有雲對傳統網路架構的部署造成了挑戰，其原因主要在於流量承載和業務匹配。流量方面，伺服器利用率的攀升使得埠流量對數據中心的網路性能和可靠性提出了要求，而各類應用在同一台物理機上運行時，各自對流量的需求模型也是動態多變的。此外，業務虛擬化對虛擬機的遷移也是有要求的，這就導致原有的安全策略不再適用於新的環境，需要動態的匹配機制。

私有雲在桌面端的安全風險同樣不容忽視，除了由傳統終端漏洞帶來的潛在威脅，對虛擬化環境所產生的跨域訪問、多個虛擬機之間的資源調用和防護等仍有不足之處。以上只是VDI的終端風險，從系統的層面來看，從伺服器架構到傳輸通道，再到客戶訪問許可權，漏洞可能存在於每個細節。以用戶層為例，密碼驗證對企業管理未免過於簡單，常見的方案可以用Ukey與SSLVPN組合認證，配合MAC地址的限定，防止非授權用戶闖入。

私有雲的數據存儲雖不像公有雲那麼多變，但也要考慮資源隔離、加密保護、入侵檢測、數據銷毀等問題。對於部分企業來說，不會關心數據具體放在CSP的哪個虛擬卷或磁碟，這些一般是由後者自行分配的，導致可能出現的情況是，不同保密層級的資源會放在同一個存儲介質內，使得調用資源時安全級別低的負載可以「跨級」訪問到高敏感度的信息。

私有雲環境有其特性所在，要依據實際情況來制定相應的解決方案。首先在網路架構層面，多租戶和多業務之間不僅要考慮隔離方案的可行性，還要顧及到網路的可擴展性，像物理防火牆就不再適用於當前資源池的需求。如果採用分散式虛擬化防火牆，就可以對東西向流量進行隔離，而縱向流量則可以利用NFV來解決。

存儲方面，除了在數據防護時加強機密性、完整性、可用性的能力，還要考慮到不同應用所採用的加密演算法對防護強度的不一致。通常，數據保護會在主機系統上完成，再傳輸到存儲網路中。至於後端檢測，則要與主機獨立，即使後者被入侵也能對存儲介質進行保護。在企業內部，一般會在關鍵路徑上部署檢測系統，對讀寫操作進行抓取、統計、分析，並且建立全域的查錯機制，對特徵庫既要實時更新，也要及時告警。

總的來說，私有雲環境的安全性要做到管理的平台化和自動化。構建了彈性可擴展的資源池之後，要藉助統一的管理平台對計算、網路、存儲等資源進行實時查看，設置到深入到業務邏輯的安全子域和關係鏈。此外，還要在實現運維自動化的同時，考慮到VMware、Xen、華為等平台的兼容性。

哈爾濱中軟卓越具有完善的IT職業教育體系，提供基於崗位的項目實戰訓練，投重金研發了專門針對大學生的准員工。「5R（5Real）」實訓課程體系，5R即：真實的工作環境、真實的項目經理、真實的項目案例、真實的工作壓力、真實的工作機會。課程設計主要培養學員的動手操作能力，通過實際項目讓學生熟知軟體開發的流程，每年有無數學子從哈爾濱中軟卓越走向IT行業，選擇通過正規培訓的職業教育進入IT行業。哈爾濱中軟卓越助您走近夢想，走進輝煌人生。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！