中国领先的IT技术网站
|
|

私有云安全:哪些程序和工具更有效?

尽管公众一直误以为私有云是安全的,事实上,私有云并不是绝对安全的,因为它是私有的。要想保证私有云的安全,必须要制定完善的计划,并且进行经常性检查,才能保证私有云安全,避免出现损失。

作者:作者:Brad Casey 翻译:皮红来源:TechTarget中国|2014-08-21 09:12

开发者大赛路演 | 12月16日,技术创新,北京不见不散


尽管公众一直误以为私有云是安全的,事实上,私有云并不是绝对安全的,因为它是私有的。要想保证私有云的安全,必须要制定完善的计划,并且进行经常性检查,才能保证私有云安全,避免出现损失。

私有云安全:哪些程序和工具更有效?

要想确保私有云安全,首先应该检查私有云所在网络的安全性。根据特定的私有云的性质,有多种检查形式。然而,针对大多数网络,协议和检查是最常见的。

维护私有云安全,第一步是计划。在计划阶段,执行协议和程序,访问私有云中的数据。如果仅仅访问云内部,显然,公司必须确保这些服务不能被外部访问。但是,如果员工处在公司的外部网络,访问私有云资源,决定如何获得数据,并将身份验证机制落实到位变得很重要。此外,如果有限制的话,还要确定哪些资源需要设置访问限制。如果几个人正在同时访问资源,创建多个虚拟机(VM),运行多个应用程序,那么,私有云可能会过载,私有云的安全性可能会受到威胁。因此,提前制定计划,降低这种风险,执行协议。

当构建私有云或者公共云时,公司要保证配备专门的安全人员来降低风险。安全人员负责保护运行环境,在发生灾难性事件时,能够随时做好应对的准备。

测试私有云的安全性

在物理机器上进行周期性Wireshark或TShark捕捉,物理机器覆盖着虚拟基础设施。一旦管理员大概了解哪些类型的流量能够进出网络,哪些类型的流量不能够进出网络,那么,他们就可以很容易编写脚本。开发一个关于什么是正常网络行为的基线,也是一个好方法。例如,如果网络管理员知道自己的私有云不具备DHCP服务器,然而,他们在Wireshark捕获看到“提供DHCP”的信息,进一步调查是至关重要的。

当在私有云环境中使用Wireshark时,一定要确保从一个主机完成捕获。这样能更全面的捕获网络流量,而不是简单地从虚拟机内部捕获流量。

此外,经常进行系统日志的检查,因为这些日志属于私有云环境。有很多硬件设备和软件应用程序,执行自动的日志分析,完成报警触发和警报消息。例如,如果一个人在周六下午2点试图登录到私有云,这可能被自动化系统视为是不合法的。然而,这些系统也是由人类创建的,这些系统永远不可能完全取代一个经验丰富的人员,能够察觉到异常。因此,一个有经验的专业人士进行经常性检查是必要的。

转移到公共云值得吗?

许多组织移动到公共云,因为卸载云基础设施的成本和维护云基础设施的责任,值得组织付出时间和金钱。但是,从安全性的角度考虑,移动到公共云是最好的方式吗?答案既是肯定的又是否定的。

许多公司认为,不会受到DOS攻击和其他形式的攻击,因为公司的基础设施存在于Amazon Web服务庞大的数据中心之一。如果组织的基础设施被攻击者攻击,那么提供商对此承担责任。然而,在周末,公司将应该设置呼叫系统,安排网络管理员,投入大量的时间和资源,从而避免私有云受到攻击。

公共云的优势

另一方面,决定移动到公共云的公司——如果有的话——很少知道数据存放在哪,以及如何处理这些数据。当公司使用公共云,没有公共云所在物理机器的root访问权限。因此,怀有不良企图的人,如果具有root访问权限,就能够访问给定的盒子,摧毁一个公司的数据。现在,公共和私有云仍然有利弊。

【编辑推荐】

  1. 公共云与私有云的安全区别
  2. 大话IT第16期:公有云与私有云的安全PK
  3. 企业考虑数据安全应迁移到私有云服务
【责任编辑:蓝雨泪 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

实时UML与Rational Rose RealTime建模案例剖析

本书将实时系统、实时统一建模语言、实时系统的统一开发过程和Rational Rose RealTime建模环境有机地结合起来,以案例为基础,系统地介绍了...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× 51CTO学院双十二活动