Gartner表示，從虛擬化數據中心向私有云計算基礎架構的過渡必須有升級的安全性提供保障。雖然信息安全的基本原則保持不變，但企業部署和交付安全服務的方式必須有所改變。Gartner預測，到2015年，企業數據中心所使用的安全管控措施中將會有40%是虛擬化的，而2010年還不足5%。

"對于大多數企業，虛擬化將為向私有云計算的演化奠定基礎。" Gartner的副總裁和著名分析師Thomas Bittman稱，"然而，安全需求是不容忽視的，也不能等到轉向私有云之后再對其進行加強。"

Bittman解釋說，不管是保護物理數據中心、虛擬化數據中心還是私有云，信息安全基本原則都是不會改變的--確保我們信息和工作負載的保密性、完整性、認證、訪問和審核。但未來，交付安全的方式就會有顯著變化。無論是支持私有云計算、公共云計算亦或是兩者兼而有之，安全都必須適應于這樣一種模式--工作負載與底層物理硬件分離開來，并自動分配到一個計算資源結構。

Gartner副總裁和研究員Neil MacDonald表示，與物理屬性(如服務器、IP地址、MAC地址或其他用于提供隔離的物理主機分離地址)相關的策略，都會隨著私有云計算的發展瓦解。對于大多數企業機構，安全控制的虛擬化將為私有云計算架構的安全提供基礎，但僅靠它，還不足以創建一個安全的私有云。

為了支持安全的私有云計算，其必須包括以下幾個特性：它必須是私有云結構中一個完整但可獨立配置的部分，可設計成一組按需、彈性且可程序化的服務項目，還可利用與邏輯屬性緊密關聯的策略進行配置，以用于創建自適應信任區間來分離多租戶。根據Macdonald所解釋的，私有云安全框架必須具備以下六種特性：

一組按需且具有彈性的服務項目

安全特性應該是一組按需交付、用于保護工作負載和信息的服務，而不是作為內嵌與物理設備的單機安全產品。這些服務項目需要集成到私有云的供應和管理流程中，提供給任何類型的工作負載--服務器或臺式機。隨著工作負載的分配、移動、修改、復制及最終的撤銷，適當的安全策略將貫穿于它的整個生命周期。

可編程的架構

提供安全服務的安全架構必須是"可編程的"--也就是說，這些服務項目對于編程訪問是開放的。根據定義，私有云和公共云計算架構是用戶基于互聯網標準使用的。對于可編程的安全架構，這些服務項目通常是使用RESTful API開放的，它們是編程語言和獨立框架。從策略管理和決策點來看，通過API提供安全服務項目，安全策略執行點架構變得可編程。這樣的轉變使得信息網絡專家可以專注在管理策略，而不是編程架構上。

基于邏輯而不是物理屬性的策略，可以將運行環境納入到實時安全決策

安全策略具有自動配置可編程基礎架構的特性，這些策略也需要改變。隨著企業轉向虛擬化數據中心，之后再轉向私有云架構，安全策略將更多地與邏輯(而不是物理)屬性相關聯。對整個IT堆棧進行解耦和提取，繼而遷移至私有云和公共云計算模式，這意味著工作負載和信息都不再局限于特定的設備、固定的IP或MAC地址，這也打破了基于物理屬性的靜態安全策略。為了更快速和精確的判斷所給指令是否應該執行或拒絕，就必須在安全決策制定時納入更多的實時環境信息。

自適應信任區間能夠高可信的分離不同的信任級別

為代替VM (虛擬機)-by-VM基準的管理安全策略，基于邏輯屬性的安全策略將用于建立信任區間--具有類似安全要求和信任級別的工作負載邏輯組。由于策略關聯于成群的虛擬機，而不和物理架構關聯，所以不管是移動單個虛擬機，還是在信任區間引入和分配新工作負載，這些區間都會適用于虛擬機的整個生命周期。私有云架構需要安全服務，并作為核心能力提供不同信任級別工作量的高可信分離。Gartner預計，到2015年，將有 70%的企業允許不同信任級別的服務器工作負載在數據中心內共享相同的物理硬件，除非監管或審計法規明確禁止的地方。

分離的可配置安全策略管理和控制

安全是不能被削弱的，因為它是虛擬化且被納入到云計算架構中。正如當今的物理基礎架構和虛擬化基礎架構一樣，在私有云架構中需要強制執行IT運營與安全之間職責和關注的分離。這種分離發生在多個層面上。如果軟件控制實現了虛擬化，我們則不能失去在現實世界的職責分離。這需要虛擬化和私有云計算平臺的供應商能夠將安全策略信息和安全虛擬機操作，從管理策略信息和其他數據中心虛擬機的操作中區分開來。

"可聯合的"安全策略和認證

私有云是漸進式部署的，而不是一次性的全部部署完。數據中心只有一小部分被被轉換為私有云模型。理想的情況下，私有云安全架構將能夠與其他數據中心安全基礎架構架構交換、共享策略，部署在跨物理和虛擬架構的安全控制能夠智能協同進行工作負載檢查。而且，在一定的前提下，旨在保護工作負載的安全策略也可作作為面向公共云提供商進行聯合的理想選擇。雖然目前并沒有對此建立確定的標準，但VMware vCloud API是一個起點，還有分布式管理工作小組(DMTF)正在拓展開放虛擬化格式(OVF)來明確安全策略。

【編輯推薦】

1. 云端對決：私有云公共云誰是***贏家？
2. 公共云、私有云 一個都不能少
3. 期待+質疑 游戲行業首例公共云落地
4. 如何保障公共云計算彼端的數據安全
5. 四個真實案例 讓你0距離觸摸云安全
6. 保護云計算安全的三個必備步驟