利用委托特权提升云安全性

利用委托特权提升云安全性JimZierick,执行副总裁,BeyondTrustSoftware简介：

本文中，作者将讨论促使数据中心迁移到云的一些需求，详细介绍虚拟化在公共和私有云基础架构中的作用，并简要说明云计算的安全性和遵从性含义，了解如何通过“管理性访问”和“特权委托”保护云中的敏感数据。发布日期：

2012年2月27日级别：

初级原创语言：

英文访问情况：

8268次浏览评论：

0

(查看

|

添加评论-登录)平均分(2个评分)为本文评分虚拟机使得硬件购买及部署与软件部署的分离成为可能，并且可以让企业内交付速度加快10、20甚至30倍。ThomasJ.Bittman，副总裁兼高级分析师，Gartner在当今的经济环境中，许多企业都在努力降低成本，少花钱多办事，同时还要保持竞争力。这就意味着IT部门面临严格的审查，以确保他们能够满足关键业务需求，并以最高效、最合算的方式交付预期的结果。为了克服这些困难，IT组织正日益偏离以设备为中心的IT观点，转向更加专注于应用程序、信息和人员上的云计算特征。云计算是一项正在兴起的技术，它提供了对动态可伸缩和虚拟化IT资源的快速访问，为企业创建轻便、强壮、成本高效、更适合业务目标的IT基础架构带来了新的激动人心的机会。但是，必须先处理好某些跟控制、遵从性和安全性有关的权衡，才能充分发挥这些优势。本文将描述能够促进数据中心向云迁移的一些因素，包括虚拟化在公共云基础架构中的作用，并简要说明云计算的安全性和遵从性含义，了解如何通过“管理性访问”和“特权委托”这两种关键方法保护云中敏感数据。为何迁移到云？为什么企业想要将数据中心迁移到云呢？原因很简单，主要有两个：一是因为虚拟化服务器提供的灵活性，二是较大私有云或公共云的规模经济为当今的计算需求创建了一个更好的经济模式。虚拟化为更好的经济模式提供了起点：在工作负载发生变化时提供更高的服务器和存储硬件利用率：当跨公共云中的业务单位或者跨公共云中的公司共享资源时，会增加规模经济甚至更高的资源利用率，因而您有了一个更低的成本模式。增加了灵活性，可以只为所使用的资源付费，而不会带来大量的固定成本和巨额资本支出，因而IT可以更好地满足很多行业的业务需求。但是，除了简单的经济意义之外，云模型更能提供重大的操作优势。通过缩短配备所需应用程序和工作负载的时间，虚拟化又为更好的操作模式提供了起点。通过让最终用户从物理基础架构的复杂性和配备及管理过程的细节中解脱出来，云模型建立了这些能力，这使得计算跟任何其他业务服务一样容易购买和管理，也为计次服务(measuredservice)和服务水平协议提供度量。除此之外，还为移动或远程用户提高了可靠性和可访问性，云成为一种非常有价值的主张。回页首虚拟化充当促成者尽管云并不是本质上的虚拟化，但是虚拟化是云计算的一个关键组件和主要促成者。虚拟化的服务器和存储器让工作负载变动时的物理硬件利用率更高。在需要时自动转移工作负载的能力增加了可靠性，无需为每个应用程序提供冗余硬件（通常未充分利用）。云提供者建立在虚拟化的经济优势之上；这一点与规模经济及日常系统管理自动化相结合，带来了成本节约，使得基于云的数据中心成为一种经济可行的解决方案或补偿方式。然而，将数据迁移到云的企业必须考虑到虚拟环境管理不当时面临的风险。此外，虚拟化正使得IT部门本身成为企业的一个事实上的服务提供者。通过缩短配备所需应用程序和工作负载的时间，虚拟化又为更好的操作模式提供了起点。通过让最终用户从物理基础架构的复杂性和配备及管理过程的细节中解脱出来，服务器虚拟化“帮助IT在行为上更像一个云提供者，并将企业准备成一个更好的云计算消费者”。（出自GartnerGroup，“ServerVirtualization:OnePathThatLeadstoCloudComputing”，RASCoreResearchNoteG00171730，ThomasJ.Bittman，2009年10月29日。）那么，这对数据中心和IT操作意味着什么呢？高度虚拟化的数据中心的第一特征是要管理的服务器数量急剧增加。这种不断增大的规模（服务器从百到千、从千到万地增长）大大增加了数据中心操作的复杂度。更改和配置管理变得更为重要且富有挑战性，并且自动化从一种很好的省钱方式变成了基本需求。由于虚拟环境和云环境中这种额外的复杂性，客户数据被暴露到不只是纯物理环境中存在的安全问题中。IT堆栈中增加的虚拟层在已建立的安全模型中引入了一个新的故障点，并为恶意知情人的入侵增加了一个新的攻击面。Hypervisor层次的任何安全攻击都会发展到危及堆栈中这一层次之上的所有层（从操作系统一直到数据层和应用程序层）的安全性。回页首云数据中心的危险根据IDCEnterprisePanel调查，迁移到云计算环境的企业关心的第一个问题就是安全性（见图1）。图1.安全性是迁移到云中时关注的第一个问题围绕特定应用程序、客户、业务单位、操作和法规遵从性而构建专用IT基础架构所导致的筒仓（silo），通常是企业IT环境规模和复杂性急剧增大的结果。尽管云计算消除了数据中心的传统应用程序筒仓，并为IT组织带来了新级别的灵活性和可伸缩性，但是对多租户计算环境的支持也引入了额外的安全风险，其中最大的潜在危险是数据窃取。尽管安全性对于迁移到云的客户来说是重中之重，但是对于云提供者并不总是那么重要。PonemonInstitute最近一次关于“云计算提供者的安全性”的调查指出，“多半云计算提供者并不认为安全性是他们最重要的职责之一”。另外，“调查对象绝大多数认为，确保他们提供的资源的安全性是云计算用户的职责”。很多云供应商有广泛的操作，提供更多资源和专业知识，来解决虚拟化和云模型中固有的安全难题。尽管云让企业无需操作自己的服务器、存储器、网络和软件，但是它也消除了很多有助于定义和保护企业数据资产的传统物理边界，并引入了新的风险，因为虚拟服务器和移动的虚拟机器取代了物理服务器和防火墙。虚拟化消除了物理服务器之间的隔离，并且不再能够将多个设备清楚地分隔成物理上独立的网络。没有了这种物理隔离和网络隔离，就较难限制系统和网络管理员的访问途径。云环境规模和灵活性的增大，增加了更改和配置管理的复杂度，这使得实现最小特权主体和职责划分更难了。例如，具有虚拟基础架构管理资格的恶意用户可以克隆虚拟机器，以获得对客户机器中包含的所有数据的访问权。他们甚至可以克隆这台虚拟机器，删除该克隆对象，并将删除的镜像安装在您的正常安全监视范围之外。由于云为敏感数据和应用程序制造了千变万化的入侵环节，保护这些资产变得更加困难了。敏感信息不应该放在云中存储或处理而不监视供应商的技术和处理过程，以确保适当级别的信息保护。回页首云计算的主要攻击根据CloudSecurityAlliance的“TopThreatstoCloudComputingv1.0”（2010年3月），以下攻击被认为是云计算的主要安全攻击（不分先后顺序）：滥用和恶毒使用云计算：IaaS提供商利用一种简单、容易、相当开放的注册过程，提供一种无限计算、网络和存储能力的假象。垃圾邮件发送者可以使用这种注册过程达到他们的目的。尽管传统上PaaS提供商最多遭受此类攻击，但是最近有证据表明，这类攻击者也针对IaaS供应商。关注的领域包括密码和密钥破解、DDOS、发动动态攻击点、宿主恶意数据、botnet命令和控件、构建彩虹表和CAPTCHA解析器。不安全的接口和API：云提供者暴露一组软件接口或API，让客户用来管理云服务以及与云服务交互（即配备、管理、编排和监视）。普通云服务的安全性和可用性都依赖于这些基本API的安全性。企业通常依赖这些API来提供增值服务，因而通过API分层增加了复杂性。关注的领域包括身份验证、访问控制、加密和活动监视。恶意知情人：通过单个管理领域下IT服务和消费者的合并，加之提供者的流程和过程缺乏透明度，这一攻击对于云消费者被加强了。关注的领域包括：提供者如何向员工提供物理和虚拟资产的访问权，如何监视这些员工，如何分析和报告政策遵从性。云提供者的雇用标准和惯例也会是一个关注方面。共享的技术漏洞：IaaS供应商通过共享基础架构以可伸缩的方式交付服务；组成该基础架构的组件可能并不被设计成为多租户体系结构提供强大的隔离属性。虚拟化hypervisor被用于调解客户OS和物理计算资源之间的访问，但是即使hypervisor也具有缺陷，让客户OS能够获得不适当级别的对底层平台的控制或影响。关注的领域包括计算、存储和网络安全性实施和监视。数据丢失/泄漏：由于风险与挑战很多并且二者相互促进（由于云环境体系结构或操作上的特征，这些风险和挑战要么是云所特有的，要么在云中更危险一些），数据泄漏的攻击在云中增多了。关注的领域包括不进行备份的记录删除或更改、取消记录与较大上下文的链接、编码密钥丢失和未经授权的部门获得对敏感数据的访问权。账户或服务劫持：云增加了一种新的攻击；账户或服务实例可能成为攻击者的新目标。关注的领域包括网络仿冒、欺诈、软件漏洞利用和经常重复使用的凭据和密码。用于访问云供应商管理的hypervisor/VMM层的管理工具必须受到严格控制，以保持高度的安全性。企业必须仔细分析业务和安全需求，并且必须评估安全特性和云服务水平的深度及可靠性。恶意知情人对企业的影响是相当大的，假定他们的访问级别和能力足以入侵企业和资产的话。品牌损害、财务影响和生产力丧失只是恶意知情人影响操作的其中几种方式。由于企业采用云服务，所以人的因素显得尤为重要。因此，云服务的消费者一定要明白提供者在采取什么措施检测和防御恶意知情人攻击。出自CloudSecurityAlliance，“TopThreatstoCloudComputingv1.0”，2010年3月。那么，为什么客户需求和供应商优先考虑的问题似乎挂不上钩呢？一部分原因可能是，云安全性本质上是一种共同的职责。我们定义和实现安全性的方式主要是由遵从性驱动的。但是，尽管框架从COBIT到PCI有很多，但是遵从性标准也不是非常清晰，给每个审计人员做出不同的解释留下足够的空间。根据Ponemon调查，云提供者“至少要自信有能力限制特权用户对敏感数据的访问”。至少缺乏这种自信的部分原因可以确切地归因于，对特权访问和适当控制缺乏清晰的定义。这种提供者流程和过程的透明度缺乏（比如说它的员工是怎么被授予物理和虚拟资产访问权的），使得防止数据窃取更为困难。来自众多客户的重要数据的汇集为不道德的系统管理员以及基于互联网的恶意攻击者的攻击呈现了一个有吸引力的目标，因而应该提高对特权用户访问的关注。想要使用云并需要以安全和遵从的方式实现它的企业将需要考虑由谁负责哪些工作：云供应商需要做好自己的份内工作，即提供一个良好的安全技术基础，比如说防火墙、反病毒和反流氓软件、数据动态加密、补丁管理和日志管理。云消费者也需要做好自己的工作，即使用云供应商提供的这个基础，保证操作的安全并确保具有适当的政策和流程。因此，这导致人员情况复杂—云中共享的职责以及特权用户的特殊情况。供应商优先考虑事项将与其客户的优先考虑事项配套。当今，对于大多数云用户来说，这些优先考虑事项是减少成本、工作负载和部署时间，同时提供新级别的可伸缩性。这些优先考虑事项有一些与保证适当安全性所需的时间和资源是矛盾的。但是，如果客户有某项安全要求并表示愿意为之付费，那么供应商将义无反顾地提供其所需的安全性。PonemonInstitute最近一个关于“云计算提供者的安全性”的报告显示，“尽管安全性当今还很少作为云的一个真正的服务提供给消费者，但在我们调查中，大约三分之一的云提供者都认为这类解决方案是未来两年新的收入来源。”只有客户提供重视、资金和服务水平需求来实现出色而又安全的流程，为供应商制定一个好的业务决策，潜在收益才能完全实现。这需要安全团队投入更多的精力，并且公司允许安全性影响采购决策并坚持定期报告安全流程和服务水平协议。想要云供应商足够安全以保护其公司敏感数据的企业需要强调安全性，提出自己的需求，监视控制，要求提供报告，并最终分担云安全性的共同职责。公共云的替代方法是，企业采用私有云基础架构作为对自己的数据获得更多控制的一种方式；但是仍然需要采取措施来检测和防御恶意知情人攻击。当今多数企业对进一步迁移到云模型持积极态度，但是犹豫着不敢将自己的任务关键型数据放入未经测试的云中。有一个完整的技术生态系统来促进正在成长中的云，但是需要适合于云环境的独特需求。回页首遵从性焦点问题利用云环境的企业最大的一个困难是证明政策遵从性。对于很多通常运行在云中的业务功能（比如说宿主网站和wiki），为底层基础架构的安全性具有一个云提供者担保通常就足够了。但是，对于业务关键型流程和敏感数据，能够为自己验证底层云基础架构是安全的对于企业来说绝对非常重要。虚拟机的使用进一步增加了复杂性，因为为单个虚拟机创建身份以及从创建到删除一直跟踪这个虚拟机，即使对于最成熟的虚拟化环境也是很困难的。当今基于将控件部署到物理服务器上的遵从性方法，需要进行修改以符合虚拟环境。当云的物理和虚拟基础架构组件完全由外部服务提供商拥有和管理时，证实这些基础架构是可信的将变得更为困难。因此，想要使用云的企业需要重新考虑他们的现有控制范围，因为很幸运，一些元素还保持相同。很多技术控制范围还是相同的，流程（比如外包供应商管理）也还类似。但是，云独特的方面需要安全策略上有些改变，包括用于hypervisor完整性监视的新控制范围，以及用于应用程序和数据治理的额外的与处理相关的控制范围。云提供者必须能够证明他们已经进行了测试，可以确保特权用户访问受到控制和监视。例如，ISO/IEC27001要求企业创建一个信息安全管理系统(InformationSecurityManagementSystem，ISMS)。这让企业能够用一种基于风险的方法识别和满足所有遵从性需求，调整控件的选择和实现，提供重要的证据证明控件在有效地发挥作用。声称已经采纳ISO27001标准的企业就可以利用该标准进行正式的审计和验证了。ISO27001在美国之外已经相当有名了，并得到了普遍接受，在美国也在慢慢被认可和接受。ISO27001需要这种管理：系统地考量企业的信息安全风险，需要考虑到攻击、漏洞和影响。设计和实现一套一致且完善的信息安全控件和/或其他形式的风险对策（比如风险规避或风险转移），以解除那些被认为是不可接受的风险。采纳一种全面考虑的管理流程，确保信息安全控件持续满足企业的信息安全需求。另一个关键的法规是PaymentCardIndustry(PCI)DataSecurityStandard(DSS)，这是一套完善的用于增强支付账户数据安全性的要求，旨在防止敏感的持卡人信息被窃取。主要要求如下：构建并维护一个安全网络。保护持卡人数据。维护一个漏洞管理程序。实现强大的访问控制措施。定期监视和测试网络。维护一个信息安全策略。适当时，企业也应该向提供商要求一个承诺，以满足监管标准，比如PCIDSS、美国的HealthInsurancePortabilityandAccountabilityAct(HIPAA)和EUDataProtectionDirective。回页首保证云的安全：管理性访问和特权委托不能确保“云”的安全，就没有“云”的存在。如果没有一个健壮的安全程序，云计算将会使情况变得更糟。ChristopherHoff，CloudSecurityAlliance的创始成员兼技术顾问为企业应用程序管理身份和访问控制仍然是当今IT组织面临的最大难题之一。尽管企业可能能够在没有良好身份和访问管理策略的情况下利用一些云计算服务，但是最终，将企业的身份服务扩展到云中仍然是真正使用按需计算服务的一个必要先兆。BeyondTrust软件BeyondTrust软件为虚拟化和云计算环境提供特权授权管理、访问控制和安全解决方案，让IT治理能够增强安全性、提高生产力、驱动遵从性和减少支出。企业的产品目标是消除各种IT系统中台式机和服务器上故意、偶然和间接的特权误用。BeyondTrust客户涵盖金融、航空工程、国防和医药行业，以及学院社团。BeyondTrustPowerBroker产品由一组完善的企业范围的解决方案组成，针对于各种IT环境中的服务器、台式机、数据库、应用程序和设备；这些产品允许企业将他们现有的安全基础架构、策略和遵从性报告扩展到私有、公共和混合的云中，并利用细粒度的访问控制实现最贱实践，以严格实施最小特权原则和职责的分离。BeyondTrustPowerBroker产品允许企业完全管理和审计对其云基础架构的特权用户访问。利用PowerBroker可以：为所有特权用户建立账户。管理特权资格的设置和取消设置。实现一个基于“最小特权”的控制系统。监视并协调特权活动。维护一个高质量的审计仓库。自动化遵从性报告。通过将现有知情人安全基础架构扩展到云，企业可以减少采用云的很多障碍。使用PowerBroker管理云安全性允许系统工程师和管理团队继续使用他们知道如何操作和维护的工具。更重要的是，PowerBroker是一个审计人员和执行规定人员都知道的经过证实的解决方案，使得云不需要额外的控件和审计流程。下面我将详细介绍我所提到的各种产品。用于云的PowerBrokerServer用于Unix/Linux服务器的PowerBroker支持特权的委托（无需提供根密码），并提供一种高度灵活的策略语言以提供细粒度的访问控制。PowerBrokerServer记录、监视和报告所有低到击键级别的管理操作，以满足大多数严格的安全性和遵从性要求。PowerBrokerServer灵活的部署能力包括对30种针对策略、日志和网络流量的加密方法的支持，允许企业将他们的特权访问云安全性部署到最满足自己的需要。PowerBrokerServer可以用以下三种方式进行部署：为云服务器部署PowerBroker允许您将现有的基于数据中心的PowerBroker基础架构扩展到基于云的Unix/Linux服务器。敏感的策略信息和事件日志还保留在数据中心。完全基于云的PowerBroker实现以最小的固定成本，最大化了您伸缩云以满足不断变化的计算能力需求的灵活性，云宿主的PowerBroker实现可以设计来保证分支机构和零售环境中分布式基础架构的安全性。在云中保留关键的PowerBroker组件以有限的IT支持资源，最小化了部署在远程位置的基础架构。针对云的PowerBrokerIdentityService集中的身份是云安全性和遵从性的基础。企业需要找到一些技术，以使得他们能够将访问权的实施从on-premise系统扩展到SaaS和云环境。这样，当前利用on-premise应用程序对受保护的客户信息或任何其他敏感信息不具有访问权的用户就不会无意中具有您的云系统的访问权。这不仅很重要，而且具有跨这些系统正确管理的身份意味着企业受审计时验证谁对什么数据具有访问权就比较简单。IridaXheneti，SecurityWeekPowerBroker为云中的集中化身份管理提供两种选择来满足重要的需求，即PowerBrokerServers的策略语言中的本机LDAP支持或者PowerBrokerIdentityServices，后者用于Linux和Unix服务器，是一种通过ActiveDirectory进行集中化用户管理、身份验证和授权的完整解决方案。利用PowerBrokerIdentityServices，企业可以安全地将现有的on-premiseActiveDirectory部署扩展到云，以将用户验证到基于云的Linux服务器，监视并报告注册活动，并定义和实现组策略以控制您的云服务器配置。用于云的PowerBrokerDatabasePowerBrokerDatabaseMonitorandAudit可以部署来监视基于云的数据库，提供数据库扫描和监视所需的会议安全最佳实践和遵从性要求。PowerBrokerDatabaseMonitorandAudit提供日常查看数据库资格和访问控制时所需的详细日志功能。将PowerBrokerDatabaseMonitorandAudit与PowerBrokerServer和IdentityService联系在一起，这允许特权活动与更改管理和服务台票务系统进行闭环协调，从而对部署在云中的关键数据库提供与数据中心相同的控制。图2.特权活动的闭环协调简单地配置到单独的安全区域，PowerBroker允许企业向共享相同物理或虚拟基础架构的应用程序应用适当级别的安全性。回页首综述：一个案例研究最后，我提供了一些关于本文中讨论的概念的实际部署的详细信息。世界上最大的一家金融服务公司，有一个集中化的IT组织利用内部交叉计费(cross-charge)为它的业务单位提供IT服务，面临着日益增长的计算能力需求，所以公司决定，IT组织以成本高效方式满足业务单位需求的最高效的方式是部署一个基于Linux的私有云基础架构，它能扩展到超过100,000个虚拟服务器来满足高峰需求。在迁移到私有云基础架构之前，业务单位有一个关键的问题需要解决：他们想要确保自己的机密数据保持安全，并且围绕遵从性的任何需求在私有云基础架构中能够得到满足。由于将采用虚拟化并关注遵从性，所以IT组织将难以按业务单位分隔基础架构却同时仍然保证授权级别符合遵从性要求。IT团队做出了当前和未来需求的一个全面视图，来保证他们正在增长的云环境的安全：供应商提供的一个全面解决方案。一个可伸缩的企业级组织。与on-premise及云目录的无缝集成。允许管理员管理策略而不是基础架构。对虚拟环境中的更改动态地做出反应。提供云服务器性能情况的可度量单位。为了满足业务单位的安全性和遵从性需求，公司部署了BeyondTrustPowerBrokerUNIXandLinuxServers，以便从主机操作系统到客户机操作系统提供统一的保护。由于为私有云基础架构使用PowerBroker，现在对于客户机OS及XENhypervisor，特权委托都受到了集中化的控制。该解决方案允许IT组织在公司范围的基础架构中集中监视和控制管理性访问和特权委托。IT组织和各个业务单位也能够生成遵从性报告，内容包含日志和审计，甚至详细到击键操作，以及他们的关键SOX、PCI和FFIEC遵从性需求的独特下钻验证的事件数据。实现从将PowerBroker手动部署到云中启动的所有操作系统开始。随着规模的增长，PowerBroker被添加到标准OS镜像，所以它将会被自动部署。利用BeyondTrust，IT团队可以简化并标准化他们用来简化管理的策略，并充当高级开发伙伴，实现更高级自动化和健康监视的开发和部署。本文中，我讨论了驱动数据中心迁移到云的需求，详细介绍了虚拟化在公共和私有云基础架构中的作用，并简要说明了云计算的安全性和遵从性含义，以便您了解如何使用“管理性访问”和“特权委托”控制方法保护云中敏感数据，并提供了一个实际的例子，即一个现有的、正在工作的、可以执行这些任务的系统。参考资料学习更多地了解本文中提到的遵从性标准：PCIDSS和ISO/IEC27001。在CloudSecurityAlliance2010年3月的论文“TopThreatstoCloudComputingv1.0”中，了解更多关于云计算最常见安全攻击的详细信息。在PonemonInstitute2011年4月的调查“SecurityofCloudComputingProviders”中，发现云供应商的更多安全趋势。在developerWorks云开发者资源中，发现和共享应用程序及服务开发人员为云部署构建项目的知识和经验。查看对IBMSmartCloudEnterprise可用的产品镜像。BeyondTrust软件为虚拟化和云计算环境提供特权授权管理、访问控制和安全性解决方案，允许IT组织加强安全性、提高生产力、促进遵从性和减少支出。公司的产品目标是消除各种IT系统中台式机和服务器上故意、偶然和间接误用特权的风险。了解如何访问IBMSmartCloudEnterprise。加入云计算讨论组，了解和讨论云计算的最新技术、解决方案、趋势等内容。讨论阅读developerWorks上所有优秀的云博客。加入developerWorks中文社区。查看开发人员推动的博客、论坛、组和维基，并与其他developerWorks用户交流。关于作者JimZierick在运营和销售方面给BeyondTrust公司带来了超过25年的建立技术公司的企业经验。他负责把握公司的全球计划，以促进产品增长和占据PrivilegeIdentityManagement市场以及相关市场的技术思想先导地位。Jim为整个BeyondTrust产品系列改善了开发方法、流程和管理。为本文评分平均分(2个评分)HTMLCONTROLForms.HTML:Option.11星1星HTMLCONTROLForms.HTML:Option.12星2星HTMLCONTROLForms.HTML:Option.13星3星HTMLCONTROLForms.HTML:Option.14星4星HTMLCONTROLForms.HTML:Option.15星5星ElevatecloudsecuritywithprivilegedelegationJimZierick,ExecutiveVicePresident,BeyondTrustSoftwareSummary:

Inthisarticle,theauthordiscussestheneedsthatdrivemigrationofdatacentersintothecloud,detailstheroleofvirtualizationinbothpublicandprivatecloudinfrastructures,andoutlinesthesecurityandcomplianceimplicationsofcloudcomputinginordertoprovideinsightintotheprotectionofsensitivedatainthecloudthrough"administrativeaccess"and"privilegeddelegation."摘要：在这篇文章中，作者讨论了数据中心驱动器迁移到云的需求，详细介绍虚拟化在公共和私有云基础设施的作用，并概述了云计算的安全和合规，及通过“行政准入”和“特权委托”保护提供洞察的云敏感数据。/developerworks/cloud/library/cl-datacentermigration/Date:

14Dec2011Level:

IntroductoryPDF:

A4andLetter(265KB|14pages)GetAdobe®Reader®Alsoavailablein:

Chinese

Japanese

PortugueseActivity:

50595viewsComments:

0

(View

|

Addcomment-Signin)Averagerating(4votes)RatethisarticleVirtualmachinesmakeitpossibletoseparatehardwareacquisitionanddeploymentfromsoftwaredeployment,andcanimprovedeliverywithinanenterpriseto10,20,oreven30timesfaster.ThomasJ.Bittman,VP,DistinguishedAnalyst,GartnerIntoday'seconomicenvironment,organizationsarefocusedonreducingcostsanddoingmorewithlesswhilestilltryingtoremaincompetitive.ThismeansthatITdepartmentsarefacinggreaterscrutinytoensurethattheymatchkeybusinessneedsanddeliverintendedresultsinthemostefficientandcost-effectivemanner.Tomeetthesechallenges,ITorganizationsareincreasinglymovingawayfromdevice-centricviewsofIT,toonethatisfocusedmoreonthedefiningcharacteristicsofcloudcomputingonapplications,information,andpeople.AsanemergingtrendthatprovidesrapidaccesstodynamicallyscalableandvirtualizedITresources,cloudcomputingpromisesnewandexcitingopportunitiesfororganizationstocreatelean,robust,cost-effectiveITinfrastructuresthatbetteralignwithbusinessgoals.However,certaintradeoffsconcerningcontrol,compliance,andsecuritymustbeaddressedbeforefullyrealizingthosebenefits.Thisarticledescribestheelementsdrivingdatacentersmigrationtothecloud,includingtheroleofvirtualizationinpubliccloudinfrastructures,andoutlinesthesecurityandcomplianceimplicationsofcloudcomputingtoprovideinsightintotheprotectionofsensitivedatainthecloudthroughtwokeymethods:Administrativeaccessandprivilegeddelegation.Whyjourneyintothecloud?Whywouldorganizationswanttomovetheirdatacentertothecloud?It'ssimple:Theflexibilityprovidedbyvirtualizedserversandtheeconomiesofscaleoflargerprivateorpubliccloudscreateabettereconomicmodelfortoday'scomputingneeds.Virtualizationprovidesthestartingpointforthebettermodel:Higherutilizationofserverandstoragehardwarewhenworkloadvaries:Addtheeconomiesofscaleandevenhigherutilizationwhenresourcesaresharedacrossbusinessunitsinapubliccloudoracrosscompaniesinapubliccloudandyouhavealowercostmodel.AddtheflexibilitytopayforresourcesonlyasusedratherthanincurringlargefixedcostsandlargechunksofcapitalexpendituresandITcanbettermatchthebusinessrequirementsinmanyindustries.However,beyondthesimpleeconomics,thecloudmodelprovidessignificantoperationalbenefits.Virtualizationagainprovidesthestartingpointforabetteroperationmodelbyreducingthetimetoprovisionneededapplicationsandworkloads.Thecloudmodelbuildsonthesecapabilitiesbyabstractingtheenduserfromthecomplexityofboththephysicalinfrastructureandthedetailsoftheprovisioningandmanagementprocessesmakingcomputingaseasytobuyandmanageasanyotherbusinessservice,aswellasprovidingmeteringformeasuredserviceandservicelevelagreements.Addtothat,increasedreliabilityandgreateraccessibilityformobileorremoteusersandthecloudbecomesaverycompellingvalueproposition.BacktotopVirtualizationasanenablerWhilethecloudisnotinandofitselfvirtualization,virtualizationisacriticalcomponentandmajorenablerofcloudcomputing.Virtualizedserversandstorageallowhigherutilizationofphysicalhardwarewhenworkloadvaries.Theabilitytoautomaticallymoveworkloadswheneverrequiredincreasesreliabilitywithouttheneedtoprovideredundant(andoftenunderutilized)hardwareforeveryapplication.Cloudprovidersbuildontheeconomicadvantagesofvirtualization;combiningthatwitheconomiesofscaleandadvancedautomationofroutinesystemsadministrationiswhatcreatesthecostsavingsthatallowcloud-baseddatacenterstobeaneconomicallyviablealternativeorsupplement.Still,organizationsmovingdataontothecloudmustconsidertheriskstheyfaceifthevirtualenvironmentisnotadministeredproperly.Additionally,virtualizationisenablingtheITdepartmentitselftobe,ineffect,aserviceproviderforthebusiness.Virtualizationagainprovidesthestartingpointforabetteroperationmodelbyreducingthetimetoprovisionneededapplicationsandworkloads.Byabstractingtheenduserfromthecomplexityofboththephysicalinfrastructureandthedetailsoftheprovisioningandmanagementprocesses,servervirtualization"helpsITbehavemorelikeacloudprovider,andpreparesthebusinesstobeabetterconsumerofcloudcomputing."(FromGartnerGroup,"ServerVirtualization:OnePathThatLeadstoCloudComputing",RASCoreResearchNoteG00171730,ThomasJ.Bittman,29October2009.)SowhatdoesthismeanforthedatacenterandIToperations?Thefirstcharacteristicofaheavilyvirtualizeddatacenterisadramaticincreaseinthenumberofserverstobemanaged.Thisincreasingscale—fromhundredstothousandsandthousandstotensofthousandsofservers—addshighdegreeofcomplexitytodatacenteroperations.Changeandconfigurationmanagementbecomeformoreimportantandchallengingandautomationmovesfromanicewaytosavemoneytoafundamentalrequirement.Becauseofthisadditionalcomplexityinvirtualandcloudenvironments,clientdataisnowexposedtosecurityvectorsnotfoundinpurelyphysicalenvironments.TheadditionofavirtualizationlayertotheITstackintroducesanewpointoffailureintheestablishedsecuritymodelandanewattacksurfaceforintrudersofmaliciousinsiders.Anybreachofsecurityatthehypervisorlevelunderminesallofthesecurityonthestackaboveit,fromtheoperatingsystemthroughthedataandapplicationlayers.BacktotopThedangersofaclouddatacenterAccordingtoanIDCEnterprisePanelsurvey,thenumberoneconcernofcompaniesmovingintocloudcomputingenvironmentsissecurity(Figure1).Figure1.SecurityisnumberoneconcernwhenmovingintothecloudSilosofdedicatedITinfrastructurebuiltaroundspecificapplications,customers,businessunits,operations,andregulatorycomplianceareoftentheresultofthedramaticgrowthinscaleandcomplexityofenterpriseITenvironments.WhilecloudcomputingremovesthetraditionalapplicationsiloswithinthedatacenterandintroducesanewlevelofflexibilityandscalabilitytotheITorganization,thesupportformulti-tenancycomputeenvironmentsalsointroducesadditionalsecurityrisks,themostinsidiousofwhichisdatatheft.Whilesecurityisatoppriorityforcustomersinmovingtothecloud,itisnotalwaysasimportantforthecloudprovider.Arecentstudyonthe"SecurityofCloudComputingProviders"bythePonemonInstituteindicated,"Themajorityofcloudcomputingprovidersdonotconsidersecurityasoneoftheirmostimportantresponsibilities."Furthermore,"therespondentsoverwhelminglybelieveitistheresponsibilityoftheusersofcloudcomputingtoensurethesecurityoftheresourcestheyprovider."Manycloudvendorshavelarge-scaleoperationsthatofferthepotentialformoreresourcesandexpertisetoaddressthesecuritychallengesinherentinthevirtualizationandcloudmodel.Althoughthecloudhelpsfreeorganizationsfromoperatingtheirownservers,storage,networks,andsoftware,italsoeliminatesmanyofthetraditionalphysicalboundariesthathelpdefineandprotectanorganization'sdataassetsandintroducesnewrisksasvirtualserversandmobilevirtualmachinesreplacephysicalserversandfirewalls.Virtualizationeliminatestheairgapsthatexistbetweenphysicalserversandtheabilitytocleanlyseparatedevicesintophysicallyisolatednetworks.Withoutthatphysicalandnetworkisolation,itishardertolimittheaccessroutesofsystemandnetworkadministrators.Theincreasedscaleandflexibilityofcloudenvironmentsaddalevelofcomplexitytochange-and-configurationmanagementthatmakesithardertoenforcetheprincipalsofleastprivilegeandsegregationofduties.Forinstance,malicioususerswithadmincredentialstothevirtualinfrastructurecouldclonevirtualmachinestogainaccesstoalldatacontainedintheguestmachines.Theycouldevenclonethatvirtualmachine,deletetheclone,andmountthedeletedimageoutsideofyournormalsecurity'sscrutiny.Sincethecloudintroducesever-changingchainsofcustodyforsensitivedataandapplications,protectingthoseassetsbecomesallthemoredifficult.Sensitiveinformationshouldnotbestoredorprocessedinthecloudwithoutvisibilityintothesupplier'stechnologyandprocessestoensuretheappropriatelevelofinformationprotection.BacktotopTopthreatstocloudcomputingAccordingtotheCloudSecurityAlliance's"TopThreatstoCloudComputingv1.0"(March2010),thefollowingareidentifiedasthetopsecuritythreatstocloudcomputing(innoparticularorder):Abuseandnefarioususeofcloudcomputing:IaaSprovidersoffertheillusionofunlimitedcompute,network,andstoragecapacitywithasimple,easy,quiteopenregistrationprocess.Spammerscanusethisregistrationprocessfortheirpurposes.AlthoughPaaSproviderstraditionallysufferedmostfromthiskindofattack,recentevidenceshowsthathackersarealsotargetingIaaSvendors.Areasofconcernincludepasswordandkeycracking,DDOS,launchingdynamicattackpoints,hostingmaliciousdata,botnetcommandandcontrol,buildingrainbowtables,andCAPTCHAsolvingfarms.InsecureinterfacesandAPIs:CloudprovidersexposeasetofsoftwareinterfacesorAPIsthatcustomersusetomanageandinteract(provision,manage,orchestrate,andmonitor)withcloudservices.ThesecurityandavailabilityofgeneralcloudservicesisdependentuponthesecurityofthesebasicAPIs.OrganizationsoftenbuildupontheseAPIstooffervalue-addedservices,thusincreasingthecomplexitybylayeringtheAPI.Areasofconcernincludeauthentication,accesscontrol,encryption,andactivitymonitoring.Maliciousinsiders:ThisthreatisamplifiedforconsumersofcloudservicesbytheconvergenceofITservicesandcustomersunderasinglemanagementdomaincombinedwithalackoftransparencyintoaprovider'sprocessesandprocedures.Areasofconcernincludehowaprovidergrantsemployeesaccesstophysicalandvirtualassets,howitmonitorstheseemployees,howitanalyzesandreportsonpolicycompliance.Hiringstandardsandpracticesforcloudproviderscouldalsobeaconcern.Sharedtechnologyvulnerabilities:IaaSvendorsdeliverservicesinascalablewaybysharinginfrastructure;thecomponentsthatmakeupthisinfrastructuremaynotbedesignedtoofferstrongisolationpropertiesforamulti-tenantarchitecture.VirtualizationhypervisorsareusedtomediateaccessbetweenaguestOSandthephysicalcomputeresources,butevenhypervisorscanhaveflawsthatenableguestOStheabilitytogaininappropriatelevelsofcontrolorinfluenceontheunderlyingplatform.Areasofconcernincludecompute,storage,andnetworksecurityenforcementandmonitoring.Dataloss/leakage:Thethreatofdatacompromiseincreasesinthecloudbecauseofthenumberofandinteractionsbetweenrisksandchallengeswhichareeitheruniquetocloud,ormoredangerousbecauseofthearchitecturaloroperationalcharacteristicsofthecloudenvironment.Areasofconcernincludedeletionoralterationofrecordswithoutbackup,unlinkingarecordfromalargercontext,lossofencodingkeys,andunauthorizedpartiesgainingaccesstosensitivedata.Accountorservicehijacking:Cloudaddsanewthreattothelandscape;youraccountorserviceinstancesmaybecomeanewbaseforanattacker.Areasofconcernincludephishing,fraud,exploitationofsoftwarevulnerabilities,andoftenreusedcredentialsandpasswords.Theadministrativetoolsusedtoaccessthehypervisor/VMMlayeracloudvendormanagesmustbetightlycontrolledtomaintainastrongsecurityposture.Organizationsneedtocarefullyanalyzebusinessandsecurityrequirementsandmustevaluatethedepthandreliabilityofsecurityfeaturesandcloudservicelevels.Theimpactthatmaliciousinsiderscanhaveonanorganizationisconsiderable,giventheirlevelofaccessandabilitytoinfiltrateorganizationsandassets.Branddamage,financialimpact,andproductivitylossesarejustsomeofthewaysamaliciousinsidercanaffectanoperation.Asorganizationsadoptcloudservices,thehumanelementtakesonanevenmoreprofoundimportance.Itiscriticalthereforethatconsumersofcloudservicesunderstandwhatprovidersaredoingtodetectanddefendagainstthemaliciousinsiderthreat.CloudSecurityAlliance,"TopThreatstoCloudComputingv1.0,"March2010So,whytheseemingdisconnectbetweencustomerrequirementsandvendorpriorities?Partofthereasonmaybethatcloudsecurityisinherentlyasharedresponsibility.Muchofthewaywedefineandimplementsecurityisdrivenbycompliance.However,despiteawidenumberofframeworksfromCOBITtoPCI,thosecompliancestandardsarenotveryclear,leavingampleroomforeveryauditortointerpretthemdifferently.AccordingtothePonemonstudy,cloudprovidersare"leastconfidentintheirabilitytorestrictprivilegeduseraccesstosensitivedata."Atleastpartofthatlackofconfidencecansurelybeattributedtothelackofacleardefinitionofprivilegedaccessandwhattheappropriatecontrolsare.Thisgenerallackoftransparencyintoproviderprocessesandprocedures,suchashowitsemployeesaregrantedaccesstophysicalandvirtualassets,makespreventingdatatheftmoredifficult.TheconcentrationofvaluabledatafromamultitudeofcustomersrepresentsanappealingtargetforattackfromunethicalsystemadministratorsaswellasmaliciousInternet-basedattackers,andshouldraiseconcernsregardingprivilegeduseraccess.Enterpriseswhowanttousethecloudandneedtodoitinasecureandcompliantwayaregoingtoneedtothinkaboutwhoisresponsibleforwhat:Cloudvendorsneedtodotheirpartbyprovidingagoodfoundationofsecuritytechnologieslikefirewalls,anti-virusandanti-malware,encryptionofdatainmotion,patchmanagement,andlogmanagement.Cloudcustomersalsoneedtodotheirpartbyusingthisfoundationtosecuretheiroperationsandensuretheproperpoliciesandproceduresareinplace.Therefore,thatleavesthecomplicatedstuff—sharedresponsibilitiesandthespecialcaseoftheprivilegedusersinthecloud.Vendorprioritieswillbealignedwiththoseoftheircustomers.Todayformostcloudusersthoseprioritiesarereducingcost,workload,anddeploymenttimewhileprovidingnewlevelsofscalability.Someoftheseprioritiesareatoddswiththetimeandresourcesrequiredtodopropersecurity.However,ifcustomersdemanditandshowtheywillpayforitvendors,willstepupandprovidethe