其他云供應(yīng)商提供虛擬防火墻��,這個(gè)防火墻連接到企業(yè)數(shù)據(jù)中心內(nèi)部的防火墻,或者與傳統(tǒng)思科VPN網(wǎng)關(guān)連接�����。
Amazon網(wǎng)絡(luò)服務(wù)之一虛擬私有云允許你連接任何Amazon云資源到你的企業(yè)位置��,你可以橋接你的Amazon和企業(yè)網(wǎng)絡(luò)�,分配私有IP地址范圍,在連接到互聯(lián)網(wǎng)之前����,從云環(huán)境運(yùn)行的應(yīng)用程序路由流量到內(nèi)部安全設(shè)備。
細(xì)粒度的訪問控制
細(xì)粒度訪問控制是否到位?
安全政策和訪問控制是云供應(yīng)商仍然在努力追趕物理計(jì)算世界的領(lǐng)域����。在很多情況下,訪問是“全有”或者“全無”的命題�,這意味著一旦用戶通過云環(huán)境身份驗(yàn)證,他們就可以自由地做很多無意的破壞���,例如啟動(dòng)或者停止虛擬服務(wù)器����,或者在云環(huán)境制造其他混亂���。
在這方面����,一些云供應(yīng)商要優(yōu)于其他供應(yīng)商��,并允許特定環(huán)境內(nèi)創(chuàng)建虛擬網(wǎng)絡(luò)或者為個(gè)人客戶分離訪問權(quán)�����。舉例來說,美國(guó)高爾夫協(xié)會(huì)想要?jiǎng)?chuàng)建一些新的 web應(yīng)用程序�,他們選擇了較小的云供應(yīng)商來獲得這種粒度訪問,因?yàn)楹芏嗖煌膽?yīng)用程序組要使用云環(huán)境�。該協(xié)會(huì)的信息技術(shù)主管Jessica Carroll表示,“我們想要更多的個(gè)人支持�����,并希望我們的IT人員與云供應(yīng)商靠得更近�。我們使用VPN來連接到云網(wǎng)絡(luò)�,但是有兩個(gè)不同的開發(fā)團(tuán)隊(duì)在云 服務(wù)的不同服務(wù)器上工作,我們進(jìn)行了設(shè)置���,讓每個(gè)團(tuán)隊(duì)智能看到自己的資源,這樣開發(fā)人員可以在不影響其他設(shè)備的情況下重新啟動(dòng)虛擬服務(wù)器或者進(jìn)行其他改 變�����。”
Vmware近日向其vSphere產(chǎn)品系列添加了細(xì)粒度訪問�。其vShield Zones產(chǎn)品包括一個(gè)基于管理程序的防火墻來執(zhí)行每個(gè)虛擬服務(wù)器的網(wǎng)絡(luò)和端口連接,并在虛擬環(huán)境內(nèi)設(shè)置安全政策和防火墻規(guī)則����。Verizon的計(jì)算作為服務(wù)的用戶可以根據(jù)每個(gè)虛擬服務(wù)器的端口和協(xié)議來設(shè)置防火墻規(guī)則�����,正如下圖所示�。
還有很多第三方安全工具��,例如Hytrust的Vmware設(shè)備��,允許更細(xì)粒度的訪問控制�����,哪些用戶對(duì)特定虛擬服務(wù)器有何種訪問權(quán)限��。
相信在不久的將來����,云計(jì)算供應(yīng)商將提供更好的粒度訪問控制服務(wù)。
冗余基礎(chǔ)設(shè)施
是否有多余的云基礎(chǔ)設(shè)施?
冗余提供的安全性在于�,不管你的云供應(yīng)商的基礎(chǔ)設(shè)施發(fā)生了什么事情,你的應(yīng)用程序仍然安然無恙���。
大多數(shù)云供應(yīng)商通過運(yùn)行獨(dú)立的其他位置的數(shù)據(jù)中心來為用戶提供自動(dòng)數(shù)據(jù)保護(hù)��,即使供應(yīng)商的數(shù)據(jù)中心發(fā)生故障�,你的基礎(chǔ)設(shè)施仍然將繼續(xù)運(yùn)作。舉例來 說�,Amazon公司在北美、亞洲和歐洲都有幾個(gè)不同的服務(wù)器“區(qū)域”����,用戶可以指定其虛擬服務(wù)器的位置并設(shè)定一個(gè)保護(hù)環(huán)境,這樣出現(xiàn)任何故障�,都能安然 無恙。對(duì)于美國(guó)高爾夫協(xié)會(huì)��,Carroll也考慮了這種需要����,他們的供應(yīng)商在另一個(gè)位置提供了一個(gè)熱點(diǎn)��,防止任何停機(jī)事故���。“我們?yōu)檫@種冗余支付了更多資 金���,但是這讓我們感覺很心安。”
應(yīng)用程序保護(hù)
Web應(yīng)用程序保護(hù)得如何?
所有云部署最不安全的方面在于其web應(yīng)用程序及其與其他云基礎(chǔ)設(shè)施連接的方式����。目前的挑戰(zhàn)在于虛擬化企業(yè)內(nèi)部服務(wù)器提供的保護(hù)性設(shè)備����,例如負(fù)載均 衡器��、入侵防御設(shè)備和防火墻����。主要云供應(yīng)商都開始將這些工具添加到他們的服務(wù)列表中,這樣IT開發(fā)人員可以將他們的應(yīng)用程序遷移到云環(huán)境�,并且仍然保持與 企業(yè)內(nèi)部運(yùn)行的程序一樣的安全水平。
例如��,Amazon的云服務(wù)器不能發(fā)送偽造的網(wǎng)絡(luò)流量����,不管它們運(yùn)行的是何種操作系統(tǒng)。Amazon防火墻只允許使用其自身源IP或者M(jìn)AC網(wǎng)絡(luò)地址的流量�����,這是一個(gè)很好的保護(hù)�。
美國(guó)密蘇里州云托管服務(wù)供應(yīng)商Savvis公司首席技術(shù)官Bryan Doerr談?wù)摿俗詣?dòng)化在云安全發(fā)揮的重要作用。“我們可以快速自動(dòng)地提供一些東西�����,但是我們無法做到的是快速作出決定。向這個(gè)應(yīng)用程序增加功能需要多 久?發(fā)現(xiàn)故障和作出響應(yīng)要多久?既然我們已經(jīng)虛擬化所有基礎(chǔ)設(shè)施���,并且自動(dòng)化了一些程序�����,我們現(xiàn)在需要將決策也進(jìn)行自動(dòng)化�����。虛擬化讓我們不再需要手動(dòng)修補(bǔ) 電纜和設(shè)置設(shè)備機(jī)架���。我們必須提前作出這些決定,按照政策來定義�,然后實(shí)施到供應(yīng)系統(tǒng)。這里的技巧在于弄清楚如何幫助客戶進(jìn)行他們的工作��。”
最后�����,對(duì)供應(yīng)商進(jìn)行實(shí)地考察���,“我們對(duì)云供應(yīng)商進(jìn)行了實(shí)地考察���,看到了他們的UPS的樣子,以及他們是如何管理他們的數(shù)據(jù)中心��,”Jessica表示���,“這讓我們感覺更加踏實(shí)��,選擇他們作為我們的供應(yīng)商��。”
果.jpg)