IaaS為用戶提供計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)和其它基礎(chǔ)計(jì)算資源，用戶可以在上面部署和運(yùn)行任意的軟件，包括操作系統(tǒng)和應(yīng)用程序，用戶不用管理和控制底層基礎(chǔ)設(shè)施，但要控制操作系統(tǒng)、存儲(chǔ)、部署應(yīng)用程序和具有對(duì)網(wǎng)絡(luò)組件（如主機(jī)防火墻）具有有限的控制權(quán)限的能力。

1、客戶數(shù)據(jù)可控以及數(shù)據(jù)隔離。

對(duì)于數(shù)據(jù)泄漏風(fēng)險(xiǎn)而言，解決此類風(fēng)險(xiǎn)主要通過(guò)數(shù)據(jù)隔離�？梢酝ㄟ^(guò)三類途徑來(lái)實(shí)現(xiàn)數(shù)據(jù)隔離：

其一，讓客戶控制他們需要使用的網(wǎng)絡(luò)策略和安全。

其二， 從存儲(chǔ)方面來(lái)說(shuō)，客戶的數(shù)據(jù)應(yīng)該存儲(chǔ)在虛擬設(shè)備中，由于實(shí)際上虛擬存儲(chǔ)器位于更大的存儲(chǔ)陣列上，因而采取了虛擬存儲(chǔ)，便可以在底層進(jìn)行數(shù)據(jù)隔離，保證每個(gè)客戶只能看到自己對(duì)應(yīng)的數(shù)據(jù)。

其三，在虛擬化技術(shù)實(shí)現(xiàn)中，可以考慮大規(guī)模部署虛擬機(jī)以實(shí)現(xiàn)更好的隔離，以及使用虛擬的存儲(chǔ)文件系統(tǒng)，比如VMware的VMFS文件系統(tǒng)。

2、綜合考慮數(shù)據(jù)中心軟硬件部署。

在硬件選用中，考慮品牌廠商，硬件的選擇要綜合考慮質(zhì)量、品牌、易用性、價(jià)格、高可維護(hù)性等一系列因素，并選擇性價(jià)比高的廠商產(chǎn)品。在虛擬化軟件選擇中，也需要在價(jià)格、廠商、質(zhì)量之間平衡。建議有條件的客戶首先聘請(qǐng)咨詢公司進(jìn)行咨詢。市場(chǎng)上，目前有三個(gè)云計(jì)算聯(lián)盟可以提供完整的云計(jì)算解決方案，包括從底層的硬件到上層的軟件。分別是Cisco+EMC+VMware，IBM，HP+Microsoft.

3、建立安全的遠(yuǎn)程管理機(jī)制。

根據(jù)定義，IaaS資源在遠(yuǎn)端，因此你需要某些遠(yuǎn)程管理機(jī)制，最常用的遠(yuǎn)程管理機(jī)制包括：

VPN：提供一個(gè)到IaaS資源的安全連接。

遠(yuǎn)程桌面、遠(yuǎn)程Shell：最常見(jiàn)的解決方案是SSH.

Web控制臺(tái)UI：提供一個(gè)自定義遠(yuǎn)程管理界面，通常它是由云服務(wù)提供商開(kāi)發(fā)的自定義界面（如管理亞馬遜AWS服務(wù)的RightScale界面）。

對(duì)應(yīng)安全策略如下：

A.緩解認(rèn)證威脅的最佳辦法是使用雙因子認(rèn)證，或使用動(dòng)態(tài)共享密鑰，或者縮短共享密鑰的共享期。

B.不要依賴于可重復(fù)使用的用戶名和密碼。

C.確保安全補(bǔ)丁及時(shí)打上。

D.對(duì)于下面這些程序：SSH：使用RSA密鑰進(jìn)行認(rèn)證；微軟的遠(yuǎn)程桌面：使用強(qiáng)加密，并要求服務(wù)器認(rèn)證；VNC：在SSH或SSL/TLS隧道上運(yùn)行它；Telnet：不要使用它，如果你必須使用它，最好通過(guò)VPN使用。

E. 對(duì)于自身無(wú)法保護(hù)傳輸數(shù)據(jù)安全的程序，應(yīng)該使用VPN或安全隧道（SSL/TLS或SSH），推薦首先使用IPSEC，然后是SSLv3或TLSv1.

4、選擇安全的虛擬化廠商以及成熟的技術(shù)。

最好選擇要能有持續(xù)的支持以及對(duì)安全長(zhǎng)期的廠商。定期更新虛擬化安全補(bǔ)丁，并虛擬化安全。

成熟的虛擬化技術(shù)不但能夠預(yù)防風(fēng)險(xiǎn)，在很大情況下還能增強(qiáng)系統(tǒng)安全性，比如VMware對(duì)有問(wèn)題虛擬機(jī)的隔離，DRS系統(tǒng)動(dòng)態(tài)調(diào)度，微軟Hyper-V技術(shù)中防止未經(jīng)授權(quán)的虛擬機(jī)之間的通信等。

5、建立健全I(xiàn)T行業(yè)法規(guī)。

在云計(jì)算環(huán)境下，用戶不知道自己的數(shù)據(jù)放在哪兒，因而會(huì)有一定的焦慮，比如我的數(shù)據(jù)在哪兒，安全嗎？等等的疑問(wèn)。

在IaaS環(huán)境下，由于虛擬機(jī)具有漂移特性，用戶很大程度上不知道數(shù)據(jù)到底存放在那個(gè)服務(wù)器、存儲(chǔ)之上。另外由于數(shù)據(jù)的獨(dú)有特點(diǎn)，一旦為別人所知，價(jià)值便會(huì)急劇降低。

這需要從法律、技術(shù)兩個(gè)角度來(lái)規(guī)范，首先建立健全法律，對(duì)數(shù)據(jù)泄漏、IT從業(yè)人員的不道德行為進(jìn)行嚴(yán)格約束，從人為角度防止出現(xiàn)數(shù)據(jù)泄漏等不安全現(xiàn)象。其次，開(kāi)發(fā)虛擬機(jī)漂移追蹤技術(shù)、IaaS下數(shù)據(jù)獨(dú)特加密技術(shù)，讓用戶可以追蹤自己的數(shù)據(jù)，感知到數(shù)據(jù)存儲(chǔ)的安全。

6、針對(duì)突然的服務(wù)中斷等不可抗拒新因素，采取兩地三中心策略。

服務(wù)中斷等風(fēng)險(xiǎn)在任何IT環(huán)境中都存在，在部署云計(jì)算數(shù)據(jù)中心時(shí)，最好采取基于兩地三中心的策略，進(jìn)行數(shù)據(jù)與環(huán)境的備份。

生產(chǎn)中心與同城災(zāi)備中心一般在同一個(gè)城市，距離在10Km以內(nèi)，異地災(zāi)備中心通常在國(guó)家的另一個(gè)區(qū)域，距離可以跨越數(shù)個(gè)省份。

生產(chǎn)中心為對(duì)外提供服務(wù)的主中心，由于與同城災(zāi)備中心距離近，可以采取裸光纖相連，采取同步復(fù)制模式，數(shù)據(jù)實(shí)時(shí)保持同步。同城災(zāi)備中心與異地災(zāi)備中心數(shù)據(jù)由于距離遠(yuǎn)，只能采取WAN連接，因此采取異步復(fù)制模式。

在該環(huán)境下，一旦生產(chǎn)中心發(fā)生毀壞，同城災(zāi)備中心可以實(shí)時(shí)承接對(duì)外服務(wù)的任務(wù)，在此情況下，用戶感覺(jué)不到任何的服務(wù)中斷。在發(fā)生地震或者戰(zhàn)爭(zhēng)等大面積毀壞的情況下，生產(chǎn)中心與同城災(zāi)備中心服務(wù)同時(shí)中斷，可以啟用異地災(zāi)備中心對(duì)外服務(wù)，在這種情況下，由于數(shù)據(jù)需要恢復(fù)，用戶感覺(jué)到服務(wù)中斷，但短時(shí)間內(nèi)會(huì)恢復(fù)，不會(huì)造成嚴(yán)重事故。

在不久的將來(lái)，云計(jì)算一定會(huì)徹底走入我們的生活，有興趣入行未來(lái)前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時(shí)獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識(shí)，讓我們一起攜手，引領(lǐng)人工智能的未來(lái)！

標(biāo)簽： ssl 安全 大數(shù)據(jù) 防火墻 服務(wù)器 權(quán)限 通信 網(wǎng)絡(luò) 云服務(wù) 云計(jì)算 云計(jì)算解決方案 云計(jì)算數(shù)據(jù) 云計(jì)算數(shù)據(jù)中心

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。