在超融合的基礎設施和虛擬化成為常態的世界里，對加密的要求越來越高，越來越迫切，IT部門需考慮的重大安全問題和方法也浮現了出來。

[[250640]]

物理數據中心時代，采取雙保險式數據安全方法是相對簡單直觀的解決方案。比如說，除了個別文件和目錄加密，還對現場服務器進行全盤加密(FDE)，最終確保離開數據中心進行維修或做丟棄處理的任何硬盤都受到了保護——杜絕客戶數據暴露的潛在風險。

但在今天這種超融合的基礎設施(HCI)和虛擬化世界中，工作負載是虛擬、動態、移動、可擴展且脆弱的。所有這些都讓維護數據安全的工作變得更為困難。這是為什么呢?

為什么要保護虛擬機

虛擬化和HCI的興起改變了游戲規則，讓IT團隊可以在本地和遠程位置快速部署混合工作負載和融合了虛擬桌面的基礎設施。

從這個方面來說，在一個設備里組合了計算、聯網和管理軟件的超融合的系統基本上就是個“盒子里的迷你云”，其好處是毋庸置疑的。

但盡管HCI設備依然托管在現場，它們的工作負載卻往往是運行在虛擬機里而不是直接在物理硬件上執行。也就是說，如今真正需要保護的是虛擬機和其中的數據，而不是具體的實體機器。

IT團隊面臨的重大安全問題就是虛擬機開關非常頻繁，且經常處于靜態數據狀態。當虛擬機關機的時候，它其實就是個可以拷貝到U盤或共享到網絡上的大文件。這里面存在的數據安全問題可不小。

解決辦法倒是簡單粗暴，直接加密虛擬機本身就好了，理想狀態下使用獨立于虛擬機管理程序的客戶機加密，并且密鑰置于公司的管控之下。這樣可以確保即便虛擬機被移動到其他HCI節點，比如說被放到公共云或另一個地理位置，公司也隨時握有數據的控制權。

加密虛擬機的好處

加密虛擬機對IT團隊和整個公司都有好處。通過提供高度可擴展的方法確保防護跟著企業數據走，可以很容易地將保護延伸至每一臺新加入的虛擬機上。

而且，虛擬機級保護不僅能抵御物理硬盤丟失或被盜的危害，還可以幫IT團隊阻止未授權數據轉移、訪問或復制。采用虛擬機級加密方法還有以下5條更深遠的優勢：

1. 持續防護

與傳輸中工作負載就沒有加密的物理級保護不同，虛擬機級加密能在工作負載在企業基礎設施中移動、克隆或做快照時都提供持續的保護。

2. 可移植的防護

虛擬機級加密摒除了受硬件、虛擬機管理器或云提供商限制的風險，為混合IT環境和傳輸中的工作負載提供了理想的完全可移植的保護。

3. 靈活防護

IT部門可利用虛擬機級加密來加密敏感工作負載，并連同非敏感工作負載一起安全執行，給不同虛擬機分配不同密鑰和策略。

4. 增強治理

通過初始化虛擬機級加密，IT團隊還能實現基于啟動引導的策略，控制誰能訪問數據，數據都存放在哪兒，以及怎么保護數據。

5. 易于終止

虛擬機級加密還可以安全終止單個工作負載，以簡單直接的方式在工作負載完結時終止。

新施行的嚴格隱私立法，比如歐盟的《通用數據保護條例》(GDPR)，提升了公司企業處理和存儲歐盟公民個人可識別信息(PII)的風險。

因此，公司企業需采取恰當的措施確保此類敏感數據不出現在公共域。但在IT環境虛擬化和超融合的世界，攻擊界面也顯著擴張，保護數據本身成為了公司企業的重中之重。

解決方案就是通過利用客戶機加密和將密鑰置入企業自身掌控之下，來確保防護是跟著數據走的。如我們所見，虛擬機級加密不僅僅保護企業基礎設施內外的工作負載，還提供了很多其他優勢，包括方便IT部門控制數據安全的各方各面，確保數據只能被授權用戶訪問——即便云系統已經被黑。

【本文是51CTO專欄作者“”李少鵬“”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文