行内人士都知道,私有云相交于公有云很多优势特性,但并不是说私有云就是绝对安全的,它一样需要良好的安全管理和策略设置,才能尽可能确保数据的安全。企业该如何做好私有云安全呢?
第一,采用分级化的分层保护管理,从操作系统这一层来说,老调重弹,对于更新的最新的安全补丁我们要及时打上,对于用到的操作系统来说,要根据服务器不同的角色进行系统的加固,不能完全放开所有的端口。在安全界有一条准则叫,最小的权限,你只使用最小的权限来运行你所需要的程序。这样是对服务器来讲的。
第二、资源隔离和访问控制
在云环境下,应用不需要关心数据实际存储的位置,只需要将数据提交给虚拟卷或虚拟磁盘,由虚拟化管理软件将数据分配在不同的物理介质。这就可能导致不同保密要求的资源存在于同一个物理存储介质上,安全保密需求低的应用/主机有可能越权访问敏感资源或者高安全保密应用/主机的信息,为了避免这种情况的发生,虚拟化管理软件应采用多种访问控制管理手段对存储资源进行隔离和访问控制,保证只有授权的主机/应用能访问授权的资源,未经授权的主机/应用不能访问,甚至不能看到其他存储资源的存在。
第三,不要安装不知名的软件,即使你要安装软件也要从可信的站点下载,或者由公司统一把经过测试的软件拷贝本放到公司的服务器提供给用户进行安装,而不让用户自己到不知名的网站进行下载安装。如果能够通过安全策略对所安装的软件进行管理则是最佳的办法。另外,对于终端的客户机来说,也要进行安全管理。不能让它什么软件都能装。
第四、数据删除或销毁
数据的彻底删除也是必须考虑的问题。由于数据存放的物理位置是位于多个异构存储系统之上,对于应用而言,并不了解数据的具体存放位置,而普通的文件删除操作并不是真正删除文件,只是删掉了索引文件的入口。因此在应用存储虚拟化技术之后,应在虚拟化管理软件将安全保密需求相同的文件在物理存储上分配在同一块或多块磁盘上,在删除文件时,为了彻底清除这些磁盘上的敏感信息,将该磁盘或多块磁盘的文件所有位同时进行物理写覆盖。对于安全保密需求高的场合,还应采用消磁的方式来进行更进一步地销毁。
企业还需要从宿主机环境、虚拟化资源池到虚拟机系统一体化的纵深安全防御体系、全面降低云环境的安全风险和攻击面,保护云资产的安全,不管公有云还是企业“私有云”也好,我们要享受云计算的计算能力,同时要记住对存储在云端的数据、特别是机密数据一定要进行加密、权限管理等多重防护,让这些攻击者哪怕偷到数据也用不了。
