當組織將其虛擬化資料中心轉換成私有雲運算架構時,必須注重資訊安全。虛擬化提供私有雲端運算的發展基礎,但轉換到私有雲端運算時,千萬不可忽視安全需求,或是過晚啟動防護措施。 資安的基本原則是確保資訊與工作負載的機密性、完整性、真實性、存取性與審查性。實體屬性政策,如伺服器、網際網路通訊協定位址(IP)、媒體存取控制(MAC)位址,或是實體主機分隔處,通常用來分隔與分解私有雲端運算。為了確保私有雲運算之安全性,必須注意以下的事項。 不同於實體應用程式內建的安全防護功能,私有雲架構需要一套隨需(on demand)安全服務,以保護工作負載與資訊。而這類型的服務必須被整合至私有雲端供應與管理流程,可以因應各類工作負載,例如伺服器或桌上型電腦。而週期中的各階段工作負載,無論是被備置、被移動、被修改、被複製,或是被替換,必須都有搭配合適的資安政策。 提供資安服務的安全架構必須是可編程的,即該服務開放編程存取。透過API開放資安服務,安全政策執行點架構便可自政策管理點與政策決定點來被編碼。這種轉換將使資安專業人士注重管理政策,而非程式設計架構。 啟動可編程架構自動配置的安全政策性質也需要改變。當愈來愈多的組織轉用虛擬化資料中心,並進而使用私有雲架構時,安全政策便需考慮邏輯屬性。 工作負載與資訊將不再侷限於特定裝置、固定的IP與MAC位址,而是根據實體屬性去打破靜態的安全政策。為了加速評估作業與加強正確性,必須將更多的即時情境資訊納入資安決策考量。 這裡所採用的並非虛擬機器對虛擬機器的安全政策管理模式,而是根據邏輯屬性的安全政策,並將其用來創造多個信任區域—即多個具相似安全條件與信任程度的邏輯工作負載組。 當各個虛擬機器移動以及當新工作負載被加入與分配至信任區時,這些區域會一直因應配合虛擬器的生命週期。私有雲架構須將資安服務視為核心能力,以提供高安全性信任級別區分功能。 當安全防護被虛擬化且併入雲端運算架構後,其能力絕不會被減弱。在私有雲架構中,一定要加強區分IT操作與安全性之間的職責與疑慮。倘若軟體控制被虛擬化,仍應保有形同在實體世界中職責區分的情況。這需要虛擬化與私有雲端運算平台廠商協助形成管理政策,讓安全虛擬器與其他資訊中心的虛擬器操作做功能區分。 未來私有雲部署的情況會日益增多。就理想的狀況來看,私有雲安全架構將可與其他資料中心安全架構交換和分享政策(包括虛擬和實體架構),而實體與虛擬架構的安全控制,日後將可智慧地結合以監控工作負載。另外,在理想的狀況下,專門設計來保護工作負載的安全政策將納入公有雲供應者的架構。
|