隨著許多企業(yè)走上數(shù)據(jù)中心虛擬化道路，信息安全方面必須及時(shí)跟進(jìn)，以支持這個(gè)趨勢(shì)。而當(dāng)數(shù)據(jù)中心走上私有云道路，信息安全方面同樣需要及時(shí)跟進(jìn)，以滿足私有云基礎(chǔ)設(shè)施的要求。

對(duì)大多數(shù)企業(yè)來說，虛擬化將為它們進(jìn)入到私有云計(jì)算階段奠定基礎(chǔ)和墊腳石。然而，對(duì)安全的要求絕不可忽視，也不能在向私有云計(jì)算遷移的后期階段“事后擴(kuò)充上去”。

盡管信息安全的基本原則仍然一樣（確保機(jī)密性、完整性、加強(qiáng)訪問和驗(yàn)證等），但是企業(yè)配置和交付安全服務(wù)的方式必須隨之變化。無論是支持私有云、公共云還是混合云，安全方面都必須變得具有很強(qiáng)的適應(yīng)性，以支持這種模式：工作負(fù)載與底層的物理硬件脫離開來，可以動(dòng)態(tài)分配給一組計(jì)算資源。

我與專門研究數(shù)據(jù)中心的一名同事Tom Bittman列出了私有云安全基礎(chǔ)設(shè)施具有的六個(gè)必要特性：

1、安全作為一組按需服務(wù)來提供。

安全方面需要與時(shí)俱進(jìn)，作為一組“按需”提供的服務(wù)來交付，從而在需要工作負(fù)載和信息時(shí)保護(hù)它們，而不是認(rèn)為信息安全就是一組孤立的安全產(chǎn)品。虛擬化的工作負(fù)載在配置、轉(zhuǎn)移、改動(dòng)、復(fù)制和停用時(shí)，相應(yīng)的安全政策需要在工作負(fù)載的整個(gè)生命周期都與之伴隨。

2、可編程的基礎(chǔ)設(shè)施。

從安全政策管理和政策決定的角度來看，提供這些安全服務(wù)的安全基礎(chǔ)設(shè)施必須變得“可編程”——通常使用可以充分利用代表性狀態(tài)傳輸（REST）協(xié)議的應(yīng)用編程接口（API）。這樣才能帶來更高的自動(dòng)化級(jí)別，讓信息安全專業(yè)人員能夠致力于管理安全政策，而不是針對(duì)基礎(chǔ)設(shè)施進(jìn)行編程。

3、基于邏輯特性的政策。

安全政策需要與邏輯特性、而不是物理特性緊密地聯(lián)系起來。安全政策還必須變得能夠感知上下文，在制定安全決策時(shí)結(jié)合更加實(shí)時(shí)的上下文信息，以便更迅速、更準(zhǔn)確地評(píng)估應(yīng)該允許還是禁止某一項(xiàng)操作。

4、自適應(yīng)信任區(qū)。

基于邏輯特性的安全政策將用于為具有類似安全需求和信任級(jí)別的工作負(fù)載創(chuàng)建邏輯群組——我們稱之為“自適應(yīng)信任區(qū)”（adaptive trust zones）。這些信任區(qū)必須能夠提供高度保障的多租戶隔離機(jī)制，以便隔離具有不同信任級(jí)別的工作負(fù)載。

5、獨(dú)立的控制平面。

企業(yè)需要在私有云基礎(chǔ)設(shè)施里面明確劃分IT操作團(tuán)隊(duì)和安全團(tuán)隊(duì)各自的職責(zé)和任務(wù)，這就要求虛擬化和私有云計(jì)算平臺(tái)供應(yīng)商提供這種功能：把安全虛擬機(jī)的安全政策制定和操作與數(shù)據(jù)中心其他虛擬機(jī)的管理政策制定和操作隔離開來。

6、“可聯(lián)合”的政策和身份。

理想情況下，私有云安全基礎(chǔ)設(shè)施應(yīng)該能夠與數(shù)據(jù)中心中的其他物理安全基礎(chǔ)設(shè)施交換和共享（聯(lián)合）安全政策；部署在物理和虛擬化基礎(chǔ)設(shè)施上的安全控制措施應(yīng)該能夠智能地協(xié)同運(yùn)行，以檢查工作負(fù)載。旨在從企業(yè)內(nèi)部保護(hù)工作負(fù)載的安全政策應(yīng)該也能夠與公共云提供商的安全政策聯(lián)合起來；不過，目前還沒有用來交換安全政策信息的公認(rèn)標(biāo)準(zhǔn)，比如防火墻和入侵防護(hù)系統(tǒng)（IPS）政策信息，所以這種類型的政策聯(lián)合最初會(huì)基于專有的聯(lián)絡(luò)機(jī)制，比如VMware公司的vCloud API。

如今靜態(tài)的、孤立的安全基礎(chǔ)設(shè)施被物理硬件牢牢束縛，無力滿足上述這些動(dòng)態(tài)需求，但會(huì)在今后五年有所發(fā)展，以支持上述特性。

原文名：Securing Private Clouds Requires Changes to Information Security Infrastructure 作者：Neil MacDonald

【本文乃51CTO精選譯文，轉(zhuǎn)載請(qǐng)標(biāo)明出處！】

【編輯推薦】

1. 遷移到私有云：技術(shù)選擇和實(shí)施問題
2. 剖析：將應(yīng)用遷移到云的幾種弊端
3. 如何構(gòu)建私有云：遷移步驟和障礙 
4. 向云計(jì)算遷移是否勢(shì)在必行？
5. 云計(jì)算實(shí)戰(zhàn)：小企業(yè)如何遷移到云？
6. Spring框架創(chuàng)始人：向云計(jì)算的遷移勢(shì)在必行
7. 不再猶豫 10種可以遷移到云的應(yīng)用程序