在云情况下，应用不须要关怀数据实际存储的地位，只须要将数据提交给虚拟卷或虚拟磁盘，由虚拟化治理软件将数据分派在不呵９依υ?理介质。这就可能导致不合保密请求的资本存在于同一个物理存储介质上，安然保密需求低的应用/主机有可能越权拜访敏感资本或者高安然保密应用/主机的信息，为了避免这种情况的产生，虚拟化治理软件应采取多种拜访控制治理手段对存储资本进行隔离和拜访控制，包管只有授权的主机/应用能拜访授权的资本，未经授权的主机/应用不克不及拜访，甚至不克不及看到其他存储资本的存在。

【51CTO.com原创稿件】对于企业来说，大年夜现有的IT治理体系过渡到私有云平台，大年夜致经历了以下几个过程：数据大年夜集中、营业体系整合、IT资本的虚拟化、治理平台的云化、应用和办事的集成供给。私有云为企业各个营业部分供给同一办事，不仅仅包含计算资本、存储资本、收集资本，还应当包含安然资本，如身份认证、病毒查杀、入侵检测、行动审计等，只分派了计算资本竽暌闺存储资本的体系，对用户来讲，无异于“裸奔”。在企业私有云情况里，不合营业体系的安然需求差别很大年夜，那么在一个“云”内，为不合营业体系供给不合的安然策略，安然策略若何安排?安排在哪里?差别化的需求若何知足?

一、云情况中对虚拟云桌面的治理

和云计算的定义一样，关于云安然也没有同一的定义，但对于企业私有云来说，云安然就是确保用户在稳定和安然合规的情况下在云计算中间上运行应用，并包管存储于云中的数据的完全性和机密性。以下安闲个方面谈一下私有云的安然挑衅和具体实践。

起首大年夜每个员工应用的桌面终妒攀来说。跟着虚拟化技巧的成长，在企业里虚拟云桌面终端也敏捷安排应用起来，虚拟化桌面终端安然问题也逐渐凸显。虚拟化云桌面终端安然所面对的重要问题可划分为两大年夜类，一类是传统的终端安然问题的延续;另一类是在虚拟化情况下所面对的新问题。虚拟化情况下所面对的新问题重要包含虚拟化情况所面对的安然威逼、无界线拜访带来的安然威逼、虚拟机防护间隙带来的威逼和安然防护激发的资本争用等多项安然问题。

云桌面经由过程虚拟化技巧来实现了桌面的同一、资本的共享，让员工经由过程瘦客户妒攀来实现任何时光、任何地点拜访跨平台的桌面体系，可以或许解决传统桌面治理模式的弊病，并且经由过程同一筹划所有云桌面用户的IP地址,在防火墙和交换机上设置策略、建立拜访控制列表，限制该网段互联网拜访权限，也可以便利实现云桌面用户与互联网的隔离。

云桌面应用便利也易于实现同一治理，然而在资本高度聚合、数据长途化、弹性大年夜范围的云桌面应用模式下，安然问题仍然弗成避免。

大年夜虚拟云桌面的┞符系一切角度来看，客户端、传输收集、办事器端、存储端等各个方面，都邑产生安然风险。忽视任何一个细节都邑导致全部体系的信息马脚。

客户端：在虚拟云桌面的应用情况中，只要有拜访权限，任何智能终端都可以拜访云端的桌面情况，如不雅应用纯真的用户名暗码作为身份认证，那么其泄漏就意味着对方可以在任何地位拜访你的桌面体系，并获取相干数据。传统的桌面可以采取物理隔离的方法，其他人无法进安然控制区域窃取材料;而在虚拟桌面情况下，这种安然保障就不复存在了。这就请求有加倍严格的终端身份认证机制。今朝比较好的筹划有Ukey准入认证，应用Ukey 认证作为云平台的安然接入认证不仅可以或许进步云平台的安然性，也可以或许使Ukey 发挥最大年夜效能，充分应用Ukey高靠得住性的特点实现对云计算资本的保护，防止无授权用户的不法操作。相对于长途用户，则可以采取Ukey 认证与SSL VPN 技巧相结合，为长途用户供给一种安然通信办事。还有就是经由过程MAC地址对于许可拜访云端的客户端进行一个范围限制也是不错的办法。固然就义了必定灵活性，但这种方法可以大年夜幅晋升客户端的可控性。

(注：国内的USBKEY品牌型号繁多，企业袈溱选择USBKEY时一般也没有太多的┞峰酌，是以导致了多种型号及品牌的KEY共存的现象比较广泛。建议测试几种应用，别的还有无驱的Ukey, 会模仿成HID，有的不克不及主动映射，还须要手动连接)

传输收集：绝大年夜部分企业级用户都邑为长途接入设备供给安然连接点，供在防火墙保护以外的设备长途接入，然则并非所有的智能终端都支撑响应的VPN技巧。智妙手机等设备一般可采取专业安然厂商供给的定制化VPN筹划。企业内部的终端和云端的通信可以经由过程SSL VPN协定进行传输加密，确保整体传输过程中的安然性。

办事器端：在虚拟桌面的┞符体筹划架构中，后台办事器端架构平日会采取横向扩大的方法。如许一方面经由过程加强冗余晋升了体系的高可用性;另一方面可以根据用户数量慢慢增长计算才能。在大年夜并发的应用情况下，体系前端会应用负载均衡器，将用户的连接请求发送给当前韬闲残剩计算才能的办事器处理。这种架构很轻易遭到分布式拒绝进击，是以须要在前端的负载均衡器上须要设备安然控制组件，或者在防火墙的后端设置安然网关进行身份剖断授权。

存储端：采取虚拟桌面筹划之后，所有的信息都邑存储在后台的磁盘阵列中，为了知足文件体系的拜访须要，一般会采取NAS架构的存储体系。这种方法的优势在于企业只须要斟灼揭捉?护后端磁盘阵列的信息防泄漏，本来前端客户端可能引起的主动式的信息泄密几率大年夜为削减。然则，如不雅体系治理员，或者是具有治理员权限的不法用户想要获守信息的话，这种集中式的信息存储方法照样存在隐患的。如不雅应用通俗的文件体系机制，体系治理员作为超等用户具有打开所有效户目次，获取数据的权限。 一般可以采取专业的加密设备进行加密存储并且为了知足合规规范的请求，加密算法应当可以有前端用户指定。同时，在数据治理上须要推敲三权分立的办法，及须要体系治理员、数据外发审核员和数据所有人同时确认也可以或许许可信息的发送。如许可以实现主动防泄密。此外，还须要经由过程审计方法确保所有操作的可追溯性。

　　推荐阅读

　　有图有真相 好图好流量 十个妙招优化网站图片

【51CTO.com快译】对于任何一个电子商务网站来说，图片优化都是必弗成少的环节。图片对于花费者和网友的影响妙>>>详细阅读

本文标题：私有云安全挑战与实践

地址：http://www.17bianji.com/lsqh/35530.html

 1/2    1