您的位置: 网界网 > 存储 > 正文

向云环境迁移过程中的数据安全性问题(下)

2012年03月02日 17:21:19 | 作者:张瀚文 | 来源:TechTarget中国 | 查看本文手机版

摘要:本文探讨云计算发展之后的安全和可用性问题。

标签
安全
可用性
云计算

公有云[注]

早在2010年末,笔者即在美国著名IT技术媒体TechTarget上提出,国内公有云在3年内的主要发展对象集中在个人用户以及中小型企业的非核心应用上,诸如个人邮件,在线OA、数据归档备份等。

向云环境迁移需要一个漫长的过程。在这一过程中,需要企业对自身的各类系统、应用和数据进行周密地分析归类。一般来说,关键业务的核心数据仍应当保留在传统的烟囱式体系架构之中,并且配以高可用的业务连续性手段确保可以接受的RTO(回复时间目标)和RPO(回复点目标)。对于归档或合规遵从类信息,可以考虑逐步向混合云[注]的部署方式迁移,并在接口处配以安全网关作为安全防护和信息的本地缓存,利用公有云线性扩展、按需付费的模式将原本在固定IT设备上的投资转变为可以预估的运营成本。

当然,安全仍是公有云在接受过程中最大的挑战,在一项针对IT专业人士进行的云计算[注]跟踪民意调查中显示,妨碍云计算应用的技术难点在于如何确保云端数据的安全性,并降低数据传输过程中的延迟问题。即使放在公司内部的数据也面临风险,在共享存储中面临最大的风险是数据丢失/泄漏,在虚拟存储环境中面临最大的风险是存取权限、数据备份和销毁。需要从数据隔离、数据加密、第三方实名认证、灵活转移、安全清除、完整备份、时限恢复、行为审计、外围防护等方面综合考虑解决云存储安全问题。

目前数据安全性的问题通过存储虚拟网关实现,(亦称远程备份装置,Remote Backup Appliance)提供加密的备份服务,以及实现故障切换、动态扩容、负载均衡、自动精简配置等高级功能,此外存储虚拟网关还可以作为数据缓冲池,将生产环境中频繁使用到的数据保存在其中,减少从云端站点存取数据所造成的延迟。目前这类产品的主流厂商有CommVault、Symantec、EMC、ETIM,以及Brocade等。

此外,针对法规安全,目前所有的云服务供应商都没有一致的解决方案。因为在电子证据发现方面,用户和云提供商必须对对方的角色和责任有共同的认识,包括诉讼保留、发现搜索、专家证词提供方等。云服务供应商现阶段很难提供真实可靠的数据,以保证他们的信息安全系统可以响应客户的要求,比如类似元数据和日志文件的主要信息。云服务供应商保存的数据需要接受与在数据所有者处保存时同样级别的监管。提前计划好相关意料内和意料外关系终止后的合同协商事宜,并有序地恢复或处置资产的安全。

私有云[注]

许多人认为私有云是解决云技术落地过程中解决安全等各类问题的有效途径。私有云和公有云类似,但是是将企业传统的IT资源集中起来统一管理和备份;私有云的核心是虚拟化技术,将所有物理机和物理存储的资源打散,从而提升整体系统的使用效率。

私有云从整体架构上来说和传统的IT环境并没有实质性的区别,所以从安全的角度来看,私有云同样面临着传统IT环境中面临的各类安全问题,以往的数据安全、网络安全和应用安全在私有云环境中同样存在。不过由于其资源是集中部署的,在管理和部署安全策略方面有一定的优势,比以往分散管控要容易许多。

但是私有云也由于其体系架构的特殊性,会造成的额外的风险。如何保护私有云中集中式数据的安全性就是一个问题。对于希望非法获取企业数据的“窃取者”,集中式的数据存放方式让其只要攻破一点就能获取到全部数据,而且集中式的数据存放使得企业系统管理员具备超常的权限,只要愿意,管理员可以很轻易地检索并获取到想要的任何数据。

索性的是目前已经有一些领先的国内外厂商致力于该领域的解决方案。这类产品通过加密存储(且加密算法可以替代为第三方算法)(+微信关注网络世界),加密传输——确保数据在存储过程中的安全性,多级授权认证——防止系统管理员可以获取全部数据,日志审计——记录所有的登陆,操作日志,对集中存放的信息数据进行全方位的加密保护。

此类解决方案在部署过程中还需考虑到云环境下,对整体系统性能和稳定性的要求。一般至少要能够支持Scale Out(横向扩展)的扩展模式,并且在高并发环境下表现出稳定的性能曲线。

较之于传统的烟囱式架构,私有云中虚拟计算资源的同样面临着更大的安全性风险。在传统IT体系架构中,一台服务器或一个集群中只会运行有限的数个系统,换句话说,即便是整台服务器或整个集群同时断电宕机,所影响的也是有限的数个应用,而企业IT系统中的其它应用仍可以正常运行。但在云环境下则完全不同,一台服务器的物理故障可能会引起其上加载的诸多应用的故障迁移,而如果相应的迁移策略出现问题,引起“脑分裂”现象,很容易大面积地影响整个云环境上的应用。

在云环境下,一般从以下几个角度考虑云计算环境下虚拟机的安全问题:

各虚拟主机的安全策略

在虚拟基础设施中运行虚拟安全网关

加强对非法及恶意的虚拟机流量监视

向云环境迁移需要一个漫长的过程

从上文中我们可以得出这样的结论,向云环境迁移需要一个漫长的过程。要对整个IT系统和业务环境进行分级,从重要性和可用性两方面依次考虑是否采用私有云、混合云或公有云。并通过部署安全策略确保主机端和数据端的安全性,这种安全性级别要求远超过以往传统的IT架构。对用户来说,抱着那种希望通过采用部署某种系统,然后在第二天看到一个全新的基于云架构的IT环境的想法无异于天方夜谭。

同时,无论是采用公有云、私有云或者是混合云的部署方式。如何对计算、存储和安全策略进行统一监控,并通过灵活的调度方式对各类资源进行统一管理可以大大降低向云环境迁移过程中可能存在的风险。目前部分国内外一线厂商已经开始提供这种统一化的用户界面。

参考资料

1.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

2.私有云:(Private cloud)是将云基础设施与软硬件资源建立在防火墙内,以供机构或企业内各部门共享数据中心内的资源。私有云完全为特定组织而运作的云端基础设施,管理者可能是组织...详情>>

3.公有云:(Public Cloud)是第三方提供一般公众或大型产业集体使用的云端基础设施,拥有它的组织出售云端服务,系统服务提供者借由租借方式提供客户有能力部署及使用云端服务。它能...详情>>

4.混合云:(Hybrid cloud)由两个或更多云端系统组成云端基础设施,这些云端系统包含了私有云、社群云、公用云等。这些系统保有独立性,但是借由标准化或封闭式专属技术相互结合,确...详情>>

[责任编辑:存储 chai_shasha@cnw.com.cn]