【51CTO.com原創(chuàng)稿件】對(duì)于企業(yè)來(lái)說(shuō)，從現(xiàn)有的IT管理體系過(guò)渡到私有云平臺(tái)，大致經(jīng)歷了以下幾個(gè)過(guò)程：數(shù)據(jù)大集中、業(yè)務(wù)系統(tǒng)整合、IT資源的虛擬化、管理平臺(tái)的云化、應(yīng)用和服務(wù)的集成提供。私有云為企業(yè)各個(gè)業(yè)務(wù)部門(mén)提供統(tǒng)一服務(wù)，不僅僅包括計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源，還應(yīng)該包括安全資源，如身份認(rèn)證、病毒查殺、入侵檢測(cè)、行為審計(jì)等，只分配了計(jì)算資源與存儲(chǔ)資源的系統(tǒng)，對(duì)用戶(hù)來(lái)講，無(wú)異于“裸奔”。在企業(yè)私有云環(huán)境里，不同業(yè)務(wù)系統(tǒng)的安全需求差異很大，那么在一個(gè)“云”內(nèi)，為不同業(yè)務(wù)系統(tǒng)提供不同的安全策略，安全策略如何部署?部署在哪里?差異化的需求如何滿(mǎn)足?

和云計(jì)算的定義一樣，關(guān)于云安全也沒(méi)有統(tǒng)一的定義，但對(duì)于企業(yè)私有云來(lái)說(shuō)，云安全就是確保用戶(hù)在穩(wěn)定和安全合規(guī)的情況下在云計(jì)算中心上運(yùn)行應(yīng)用，并保證存儲(chǔ)于云中的數(shù)據(jù)的完整性和機(jī)密性。以下從三個(gè)方面談一下私有云的安全挑戰(zhàn)和具體實(shí)踐。

一、云環(huán)境中對(duì)虛擬云桌面的管理

首先從每個(gè)員工使用的桌面終端來(lái)說(shuō)。隨著虛擬化技術(shù)的發(fā)展，在企業(yè)里虛擬云桌面終端也迅速部署應(yīng)用起來(lái)，虛擬化桌面終端安全問(wèn)題也逐漸凸顯。虛擬化云桌面終端安全所面臨的主要問(wèn)題可劃分為兩大類(lèi)，一類(lèi)是傳統(tǒng)的終端安全問(wèn)題的延續(xù);另一類(lèi)是在虛擬化環(huán)境下所面臨的新問(wèn)題。虛擬化環(huán)境下所面臨的新問(wèn)題主要包括虛擬化環(huán)境所面臨的安全威脅、無(wú)邊界訪問(wèn)帶來(lái)的安全威脅、虛擬機(jī)防護(hù)間隙帶來(lái)的威脅和安全防護(hù)引發(fā)的資源爭(zhēng)用等多項(xiàng)安全問(wèn)題。

云桌面通過(guò)虛擬化技術(shù)來(lái)實(shí)現(xiàn)了桌面的統(tǒng)一、資源的共享，讓員工通過(guò)瘦客戶(hù)端來(lái)實(shí)現(xiàn)任何時(shí)間、任何地點(diǎn)訪問(wèn)跨平臺(tái)的桌面系統(tǒng)，能夠解決傳統(tǒng)桌面管理模式的弊端，而且通過(guò)統(tǒng)一規(guī)劃所有云桌面用戶(hù)的IP地址,在防火墻和交換機(jī)上設(shè)置策略、建立訪問(wèn)控制列表，限制該網(wǎng)段互聯(lián)網(wǎng)訪問(wèn)權(quán)限，也可以方便實(shí)現(xiàn)云桌面用戶(hù)與互聯(lián)網(wǎng)的隔離。

云桌面使用方便也易于實(shí)現(xiàn)統(tǒng)一管理，然而在資源高度聚合、數(shù)據(jù)遠(yuǎn)程化、彈性大規(guī)模的云桌面應(yīng)用模式下，安全問(wèn)題仍然不可避免。

從虛擬云桌面的整體系統(tǒng)角度來(lái)看，客戶(hù)端、傳輸網(wǎng)絡(luò)、服務(wù)器端、存儲(chǔ)端等各個(gè)方面，都會(huì)產(chǎn)生安全風(fēng)險(xiǎn)。忽略任何一個(gè)細(xì)節(jié)都會(huì)導(dǎo)致整個(gè)系統(tǒng)的信息漏洞。

客戶(hù)端：在虛擬云桌面的應(yīng)用環(huán)境中，只要有訪問(wèn)權(quán)限，任何智能終端都可以訪問(wèn)云端的桌面環(huán)境，如果使用單純的用戶(hù)名密碼作為身份認(rèn)證，那么其泄露就意味著對(duì)方可以在任何位置訪問(wèn)你的桌面系統(tǒng)，并獲取相關(guān)數(shù)據(jù)。傳統(tǒng)的桌面可以采用物理隔離的方式，其他人無(wú)法進(jìn)安全控制區(qū)域竊取資料;而在虛擬桌面環(huán)境下，這種安全保障就不復(fù)存在了。這就要求有更加嚴(yán)格的終端身份認(rèn)證機(jī)制。目前比較好的方案有Ukey準(zhǔn)入認(rèn)證，利用Ukey 認(rèn)證作為云平臺(tái)的安全接入認(rèn)證不僅能夠提高云平臺(tái)的安全性，也能夠使Ukey 發(fā)揮最大效能，充分利用Ukey高可靠性的特點(diǎn)實(shí)現(xiàn)對(duì)云計(jì)算資源的保護(hù)，防止無(wú)授權(quán)用戶(hù)的非法操作。相對(duì)于遠(yuǎn)程用戶(hù)，則可以采用Ukey 認(rèn)證與SSL VPN 技術(shù)相結(jié)合，為遠(yuǎn)程用戶(hù)提供一種安全通信服務(wù)。還有就是通過(guò)MAC地址對(duì)于允許訪問(wèn)云端的客戶(hù)端進(jìn)行一個(gè)范圍限定也是不錯(cuò)的辦法。雖然犧牲了一定靈活性，但這種方式可以大幅提升客戶(hù)端的可控性。

(注：國(guó)內(nèi)的USBKEY品牌型號(hào)繁多，企業(yè)在選擇USBKEY時(shí)一般也沒(méi)有太多的考慮，因此導(dǎo)致了多種型號(hào)及品牌的KEY共存的現(xiàn)象比較普遍。建議測(cè)試幾種使用，另外還有無(wú)驅(qū)的Ukey, 會(huì)模擬成HID，有的不能自動(dòng)映射，還需要手動(dòng)連接)

傳輸網(wǎng)絡(luò)：絕大部分企業(yè)級(jí)用戶(hù)都會(huì)為遠(yuǎn)程接入設(shè)備提供安全連接點(diǎn)，供在防火墻保護(hù)以外的設(shè)備遠(yuǎn)程接入，但是并非所有的智能終端都支持相應(yīng)的VPN技術(shù)。智能手機(jī)等設(shè)備一般可采用專(zhuān)業(yè)安全廠商提供的定制化VPN方案。企業(yè)內(nèi)部的終端和云端的通訊可以通過(guò)SSL VPN協(xié)議進(jìn)行傳輸加密，確保整體傳輸過(guò)程中的安全性。

服務(wù)器端：在虛擬桌面的整體方案架構(gòu)中，后臺(tái)服務(wù)器端架構(gòu)通常會(huì)采用橫向擴(kuò)展的方式。這樣一方面通過(guò)增強(qiáng)冗余提升了系統(tǒng)的高可用性;另一方面可以根據(jù)用戶(hù)數(shù)量逐步增加計(jì)算能力。在大并發(fā)的使用環(huán)境下，系統(tǒng)前端會(huì)使用負(fù)載均衡器，將用戶(hù)的連接請(qǐng)求發(fā)送給當(dāng)前仍有剩余計(jì)算能力的服務(wù)器處理。這種架構(gòu)很容易遭到分布式拒絕攻擊，因此需要在前端的負(fù)載均衡器上需要配置安全控制組件，或者在防火墻的后端設(shè)置安全網(wǎng)關(guān)進(jìn)行身份鑒定授權(quán)。

存儲(chǔ)端：采用虛擬桌面方案之后，所有的信息都會(huì)存儲(chǔ)在后臺(tái)的磁盤(pán)陣列中，為了滿(mǎn)足文件系統(tǒng)的訪問(wèn)需要，一般會(huì)采用NAS架構(gòu)的存儲(chǔ)系統(tǒng)。這種方式的優(yōu)勢(shì)在于企業(yè)只需要考慮保護(hù)后端磁盤(pán)陣列的信息防泄漏，原本前端客戶(hù)端可能引起的主動(dòng)式的信息泄密幾率大為減少。但是，如果系統(tǒng)管理員，或者是具有管理員權(quán)限的非法用戶(hù)想要獲取信息的話(huà)，這種集中式的信息存儲(chǔ)方式還是存在隱患的。如果使用普通的文件系統(tǒng)機(jī)制，系統(tǒng)管理員作為超級(jí)用戶(hù)具有打開(kāi)所有用戶(hù)目錄，獲取數(shù)據(jù)的權(quán)限。 一般可以采用專(zhuān)業(yè)的加密設(shè)備進(jìn)行加密存儲(chǔ)并且為了滿(mǎn)足合規(guī)規(guī)范的要求，加密算法應(yīng)當(dāng)可以有前端用戶(hù)指定。同時(shí)，在數(shù)據(jù)管理上需要考慮三權(quán)分立的措施，及需要系統(tǒng)管理員、數(shù)據(jù)外發(fā)審核員和數(shù)據(jù)所有人同時(shí)確認(rèn)也能夠允許信息的發(fā)送。這樣可以實(shí)現(xiàn)主動(dòng)防泄密。此外，還需要通過(guò)審計(jì)方式確保所有操作的可追溯性。

二、網(wǎng)絡(luò)層如何進(jìn)行動(dòng)態(tài)安全防護(hù)

云計(jì)算的大規(guī)模運(yùn)營(yíng)給傳統(tǒng)網(wǎng)絡(luò)架構(gòu)和應(yīng)用部署帶來(lái)挑戰(zhàn)，不論是技術(shù)革新還是架構(gòu)變化，都需要服務(wù)于云計(jì)算的核心要求，即動(dòng)態(tài)、彈性、靈活，并實(shí)現(xiàn)網(wǎng)絡(luò)部署的簡(jiǎn)捷化。具體來(lái)說(shuō)傳統(tǒng)網(wǎng)絡(luò)面臨的挑戰(zhàn)主要4點(diǎn)。

1)服務(wù)器的利用率從20%提高到80%，服務(wù)器端口流量大幅提升，對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)承載性能提出巨大挑戰(zhàn)，對(duì)網(wǎng)絡(luò)可靠性要求也更高;

2)多種應(yīng)用部署在同一臺(tái)物理服務(wù)器上運(yùn)行，使網(wǎng)絡(luò)流量在同一臺(tái)物理服務(wù)器上產(chǎn)生疊加，流量模型更加不可控

;3)服務(wù)器虛擬化技術(shù)的應(yīng)用必然伴隨著虛擬機(jī)的遷移，這種遷移需要一個(gè)高效的網(wǎng)絡(luò)環(huán)境來(lái)保障;

4)虛擬機(jī)的部署和遷移， 使得安全策略的部署變得復(fù)雜和無(wú)助，需要一個(gè)動(dòng)態(tài)的機(jī)制來(lái)對(duì)數(shù)據(jù)中心進(jìn)行防護(hù)。

從兩個(gè)方面來(lái)說(shuō)下這個(gè)問(wèn)題：

1、東西向安全：

在企業(yè)私有云環(huán)境下，融合了多業(yè)務(wù)和多租戶(hù)資源池環(huán)境，業(yè)務(wù)之間和租戶(hù)之間的安全隔離成為云平臺(tái)建設(shè)必須要解決的問(wèn)題。與傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)相比，私有云數(shù)據(jù)中心網(wǎng)絡(luò)流量模型逐步由東西向流量取代南北向流量成為主要流量，多業(yè)務(wù)和多租戶(hù)隔離一方面需要考慮隔離方案的可維護(hù)性，另一方面需要考慮網(wǎng)絡(luò)能力的橫向可擴(kuò)展性。

目前大部分資源池的安全隔離仍采用物理防火墻作為東西向和南北向隔離方案，但物理防火墻在扁平化數(shù)據(jù)中心網(wǎng)絡(luò)中存在結(jié)構(gòu)性瓶頸，限制了網(wǎng)絡(luò)的橫向擴(kuò)展能力。這里可以考慮采用分布式虛擬防火墻對(duì)業(yè)務(wù)和租戶(hù)之間的橫向流量進(jìn)行隔離，南北向流量隔離利用NFV防火墻實(shí)現(xiàn)，通過(guò)SDN Controller向DFW(分布式虛擬防火墻)自動(dòng)下發(fā)定制的策略，實(shí)現(xiàn)業(yè)務(wù)和租戶(hù)之間安全隔離。分布式虛擬防火墻的性能是我們目前主要關(guān)注的問(wèn)題，隨著流量規(guī)模的增長(zhǎng)，我們會(huì)根據(jù)情況考慮虛擬防火墻和物理防火墻相結(jié)合部署的架構(gòu)。

2、南北向安全：

NFV(網(wǎng)絡(luò)功能虛擬化)，通過(guò)軟硬件解耦及功能抽象，使網(wǎng)絡(luò)設(shè)備功能不再依賴(lài)于專(zhuān)用硬件，資源可以充分靈活共享，實(shí)現(xiàn)新業(yè)務(wù)的快速開(kāi)發(fā)和部署，并基于實(shí)際業(yè)務(wù)需求進(jìn)行自動(dòng)部署、彈性伸縮、故障隔離和自愈等。常用的NFV組件有vFW、vLB、vSwitch等，下面以vFW、vLB為例，對(duì)IT云平臺(tái)NFV的部署運(yùn)用進(jìn)行簡(jiǎn)單介紹。

1)利用vFW(虛擬防火墻)實(shí)現(xiàn)南北向安全防護(hù)

南北向流量主要是客戶(hù)端到服務(wù)器之間的業(yè)務(wù)流量，這類(lèi)流量需要進(jìn)出資源池，安全隔離的邊界在資源池出口處，在此位置可以部署物理防火墻，也可以部署NFV防火墻集群，用于對(duì)整個(gè)資源池與外部網(wǎng)絡(luò)的安全隔離。

2) 利用vLB(虛擬負(fù)載均衡)實(shí)現(xiàn)業(yè)務(wù)負(fù)載按需開(kāi)通

通過(guò)部署虛擬負(fù)載均衡器，統(tǒng)一為多個(gè)租戶(hù)提供負(fù)載均衡服務(wù)。虛擬負(fù)載均衡目前可支持各類(lèi)TCP應(yīng)用，如FTP、HTTP、HTTPS等，支持豐富的負(fù)載分發(fā)算法和會(huì)話(huà)保持方式。隨著業(yè)務(wù)量的增長(zhǎng)，還可以為每個(gè)業(yè)務(wù)或租戶(hù)單獨(dú)部署一套虛擬負(fù)載均衡設(shè)備，提高負(fù)載均衡的可管理能力和擴(kuò)展能力。

三、 私有云安全規(guī)劃--如何保證每層的安全

從不同角度能看到安全的不同層面。如果從私有云安全規(guī)劃角度看，有四個(gè)層面需要注意：

• 邊界防護(hù)：私有云安全防護(hù)的底線(xiàn);
• 基礎(chǔ)防護(hù)：與私有云建設(shè)過(guò)程中同步開(kāi)展的階段，云安全管理系統(tǒng);
• 增強(qiáng)防護(hù)：隨著云安全技術(shù)逐漸成熟，增強(qiáng)完善云安全服務(wù)，加密認(rèn)證等;
• 云化防護(hù)：面向SaaS等更復(fù)雜的云計(jì)算模式，引入云安全訪問(wèn)代理等新技術(shù)，結(jié)合業(yè)務(wù)實(shí)現(xiàn)防護(hù)。

未來(lái)，邊界防護(hù)上基于SDN技術(shù)構(gòu)建“流網(wǎng)絡(luò)層”，提升“東西向”的隔離顆粒度與強(qiáng)度，以及加強(qiáng)云內(nèi)流量監(jiān)控;基礎(chǔ)防護(hù)上，構(gòu)建云安全管理系統(tǒng)，各種安全加固技術(shù)在私有云底層平臺(tái)的應(yīng)用，特別是通過(guò)安全手段固化底層行為;增強(qiáng)防護(hù)則提供比如加密認(rèn)證、安全掃描服務(wù)，定期對(duì)所有云主機(jī)進(jìn)行安全掃描，及時(shí)發(fā)現(xiàn)安全漏洞，還有防護(hù)DNS型的攻擊，防DDoS攻擊，自動(dòng)化抵御SYNFLOOD、UDPFLOOD等常見(jiàn)攻擊，有效保障用戶(hù)業(yè)務(wù)的正常運(yùn)作。云化防護(hù)則面向業(yè)務(wù)操作與業(yè)務(wù)數(shù)據(jù)的云安全代理機(jī)制等，引入云安全相關(guān)的新技術(shù)，結(jié)合業(yè)務(wù)實(shí)現(xiàn)防護(hù)。這些都將是重點(diǎn)考慮的方向和手段。

下面就存儲(chǔ)的安全重點(diǎn)說(shuō)一下。存儲(chǔ)層面的安全主要有4點(diǎn)：

1、資源隔離和訪問(wèn)控制

在云環(huán)境下，應(yīng)用不需要關(guān)心數(shù)據(jù)實(shí)際存儲(chǔ)的位置，只需要將數(shù)據(jù)提交給虛擬卷或虛擬磁盤(pán)，由虛擬化管理軟件將數(shù)據(jù)分配在不同的物理介質(zhì)。這就可能導(dǎo)致不同保密要求的資源存在于同一個(gè)物理存儲(chǔ)介質(zhì)上，安全保密需求低的應(yīng)用/主機(jī)有可能越權(quán)訪問(wèn)敏感資源或者高安全保密應(yīng)用/主機(jī)的信息，為了避免這種情況的發(fā)生，虛擬化管理軟件應(yīng)采用多種訪問(wèn)控制管理手段對(duì)存儲(chǔ)資源進(jìn)行隔離和訪問(wèn)控制，保證只有授權(quán)的主機(jī)/應(yīng)用能訪問(wèn)授權(quán)的資源，未經(jīng)授權(quán)的主機(jī)/應(yīng)用不能訪問(wèn)，甚至不能看到其他存儲(chǔ)資源的存在。

2、數(shù)據(jù)加密保護(hù)

在各類(lèi)安全技術(shù)中，加密技術(shù)是最常見(jiàn)也是最基礎(chǔ)的安全防護(hù)手段，在云環(huán)境下，數(shù)據(jù)的加密保護(hù)仍然是數(shù)據(jù)保護(hù)的最后一道防線(xiàn)，對(duì)數(shù)據(jù)的加密存在于數(shù)據(jù)的傳輸過(guò)程中和存儲(chǔ)過(guò)程中。

對(duì)數(shù)據(jù)傳輸過(guò)程中的加密保護(hù)能保護(hù)數(shù)據(jù)的完整性、機(jī)密性和可用性，防止數(shù)據(jù)被非法截獲、篡改和丟失。針對(duì)不同虛擬化對(duì)象的特點(diǎn)，應(yīng)采用不同的傳輸加密方式。如對(duì)IP SAN網(wǎng)絡(luò)，可以采用IPSec Encryption(IPSec加密)或SSL加密功能防止數(shù)據(jù)被竊聽(tīng)，確保信息的保密性，采用IPSec摘要和防回復(fù)的功能防止信息被篡改，保證信息的完整性。

對(duì)數(shù)據(jù)存儲(chǔ)的加密能實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性，完整性和可用性，還能防止數(shù)據(jù)所在存儲(chǔ)介質(zhì)意外丟失或者不可控的情況下數(shù)據(jù)自身的安全。對(duì)數(shù)據(jù)存儲(chǔ)的保護(hù)一般在主機(jī)端完成，通常由應(yīng)用系統(tǒng)先對(duì)數(shù)據(jù)進(jìn)行加密，然后再傳輸?shù)酱鎯?chǔ)網(wǎng)絡(luò)中，由于不同應(yīng)用采用加密算法的多樣性導(dǎo)致加密強(qiáng)度的不一致，不利于數(shù)據(jù)存儲(chǔ)安全的統(tǒng)一防護(hù)。為了解決這個(gè)問(wèn)題，IEEE安全數(shù)據(jù)存儲(chǔ)協(xié)會(huì)提出了P1619安全標(biāo)準(zhǔn)體系，這個(gè)體系制定了對(duì)存儲(chǔ)介質(zhì)上的數(shù)據(jù)進(jìn)行加密的通用標(biāo)準(zhǔn)，采用這種標(biāo)準(zhǔn)格式可使得各廠家生產(chǎn)的存儲(chǔ)設(shè)備具有很好的兼容性。

對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)保護(hù)的另一種思路是在存儲(chǔ)設(shè)備之前串接一個(gè)硬件加密裝置，對(duì)所有流入存儲(chǔ)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行加密后，將密文提交給存儲(chǔ)設(shè)備;對(duì)所有流出存儲(chǔ)設(shè)備的數(shù)據(jù)進(jìn)行解密后將明文提交給服務(wù)器;這種加密方式與上面提到的采用P1619的的解決方案類(lèi)似，但這里的加密是由外部加密裝置完成，而不是集成在存儲(chǔ)網(wǎng)絡(luò)中。這種解決思路與上層應(yīng)用和存儲(chǔ)無(wú)關(guān)，但在數(shù)據(jù)量大的情況下，對(duì)硬件加密裝置的加解密性能和處理能力要求比較高。

對(duì)數(shù)據(jù)加密保護(hù)的第三種解決辦法是依靠存儲(chǔ)設(shè)備自身的加密功能，如基于磁帶機(jī)的數(shù)據(jù)加密技術(shù)，通過(guò)在磁帶機(jī)上對(duì)數(shù)據(jù)進(jìn)行加密，使數(shù)據(jù)得到保護(hù);目前可信計(jì)算機(jī)組織(TCG，Trusted Computing Group)也已提出了針對(duì)硬盤(pán)的自加密標(biāo)準(zhǔn)，將加密單元放置在硬盤(pán)中，對(duì)數(shù)據(jù)進(jìn)行保護(hù)。自加密硬盤(pán)提供用戶(hù)認(rèn)證密鑰，由認(rèn)證密鑰保護(hù)加密密鑰，通過(guò)加密密鑰保護(hù)硬盤(pán)數(shù)據(jù)。認(rèn)證密鑰是用戶(hù)訪問(wèn)硬盤(pán)的惟一憑證，只有通過(guò)認(rèn)證后才能解鎖硬盤(pán)并解密加密密鑰，最終訪問(wèn)硬盤(pán)數(shù)據(jù)。

3、基于存儲(chǔ)的分布式入侵檢測(cè)系統(tǒng)

基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)嵌入在存儲(chǔ)系統(tǒng)中，如SAN的光纖交換機(jī)、磁盤(pán)陣列控制器或HBA卡等設(shè)備中，能對(duì)存儲(chǔ)設(shè)備的所有讀寫(xiě)操作進(jìn)行抓取、統(tǒng)計(jì)和分析，對(duì)可疑行為進(jìn)行報(bào)警。由于基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)是運(yùn)行在存儲(chǔ)系統(tǒng)之上，擁有獨(dú)立的硬件和獨(dú)立的操作系統(tǒng)，與主機(jī)獨(dú)立，能夠在主機(jī)被入侵后繼續(xù)對(duì)存儲(chǔ)介質(zhì)上的信息提供保護(hù)。在存儲(chǔ)虛擬化網(wǎng)絡(luò)中，應(yīng)在系統(tǒng)的關(guān)鍵路徑上部署基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)，建立全網(wǎng)統(tǒng)一的管理中心，統(tǒng)一管理入侵檢測(cè)策略，實(shí)現(xiàn)特征庫(kù)的實(shí)時(shí)更新和報(bào)警事件及時(shí)響應(yīng)。

4、數(shù)據(jù)刪除或銷(xiāo)毀

數(shù)據(jù)的徹底刪除也是必須考慮的問(wèn)題。由于數(shù)據(jù)存放的物理位置是位于多個(gè)異構(gòu)存儲(chǔ)系統(tǒng)之上，對(duì)于應(yīng)用而言，并不了解數(shù)據(jù)的具體存放位置，而普通的文件刪除操作并不是真正刪除文件，只是刪掉了索引文件的入口。因此在應(yīng)用存儲(chǔ)虛擬化技術(shù)之后，應(yīng)在虛擬化管理軟件將安全保密需求相同的文件在物理存儲(chǔ)上分配在同一塊或多塊磁盤(pán)上，在刪除文件時(shí)，為了徹底清除這些磁盤(pán)上的敏感信息，將該磁盤(pán)或多塊磁盤(pán)的文件所有位同時(shí)進(jìn)行物理寫(xiě)覆蓋。對(duì)于安全保密需求高的場(chǎng)合，還應(yīng)采用消磁的方式來(lái)進(jìn)行更進(jìn)一步地銷(xiāo)毀。

結(jié)語(yǔ)：

云計(jì)算作為一種新的模式給企業(yè)信息化發(fā)展帶來(lái)了巨大的變革，是IT 行業(yè)的一個(gè)發(fā)展趨勢(shì)，但是安全問(wèn)題仍然是阻礙企業(yè)全面部署應(yīng)用云平臺(tái)的最大障礙。如何有效控制訪問(wèn)權(quán)限和整體安全管理機(jī)制，如何對(duì)數(shù)據(jù)進(jìn)一步劃分等級(jí)，實(shí)時(shí)安全操作和監(jiān)控，如何更有效地管控外部攻擊威脅帶來(lái)的風(fēng)險(xiǎn)，都需要深入開(kāi)展研究，才能更有效地提高云計(jì)算平臺(tái)的安全，為云計(jì)算在企業(yè)中的廣泛應(yīng)用提供更安全的保障。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】