擊敗雲悲觀主義者：虛擬機器安全案例

雲反對者說你應該將虛擬機器至於雲外，因為雲安全問題制約了他們的業務。 更糟的是，雲反對者有關虛擬機器安全前途暗淡的描述可能會深入IT管理員的內心。

對雲安全過於嚴格的立場漸漸破壞了從虛擬環境遷入雲的潛在優勢，這些優勢包括了計算資源富有彈性以及由規模經濟和隨時隨地進行訪問(或者說幾乎可以隨處訪問)所帶來的成本降低。

雲反對者有關虛擬機器安全的論斷有時看似理直氣壯。 「一旦將虛擬機器放入雲中，便放棄了資料的擁有權」是一個很常見的有關雲安全的論斷。 另一個令所有IT人員內心感到擔憂的就是：「雲意味著失業。 」但是對雲安全的關注通常只是對你所不了解的事感到害怕。

你可以採用以下觀點反駁雲反對者的論斷。

論點1：雲並不適用于所有的虛擬機器

雲反對者基於他們自己的立場做了個錯誤的假設：雲計算是一個非此即彼的命題。

他們擔心虛擬機器資料的安全性，不能夠保護敏感的公司資產，其他人可能會窺探他們的資料存儲。 但是這一論斷假設所有的虛擬機器必須被同等對待，這意味著所有的虛擬資料必須被同等地保護，而這絕非事實。

與法規遵從性及資料安全性相關的最佳實踐文檔建議創建安全島嶼，從邏輯上將敏感的資料與不必在意的資料進行隔離。

採用這種方式對資料進行隔離，對伺服器及服務進行了合乎邏輯的劃分，説明你決定哪些虛擬機器在雲中運行是有意義的。 不必鑽研與加密與授權認證有關的技術性會談，你就可以直接使雲反對者對分離敏感虛擬機器資料的異議變得無效。

換句話說，如果你不關心某些虛擬機器中的資料，那麼有關雲安全的論斷都是沒有實際意義的。

論點2：安全技術同樣適用于雲

就敏感的虛擬機器資料而言，實際上虛擬機器安全技術已經在用於保護雲中的虛擬機器了。

保護基於雲的虛擬機器的技術(加密和登錄身份驗證)，在資料傳輸途中(除了傳輸安全性以外，還有主機和基於hypervisor的防火牆)乃至在處理過程中(借助hypervisor自身的邏輯功能)都已存在。

你可以輕鬆地將一個虛擬機器交付給雲提供方，啟用該虛擬機器的防火牆，只允許其與你所在的網路進行通信，為虛擬機器的安全提供合理的保證。 以Kerberos協定為例，它能夠防止使用者登錄到網域控制站中，防止雲供應商窺探你的虛擬機器。 諸如保護虛擬基礎設施中虛擬機器資料的進階加密標準同樣適用于存儲在雲中的資料。

與此同時，專門用於虛擬環境的虛擬機器安全工具已經可以擴展到在雲中使用。 以VMware的vShield安全平臺為例，它同時在虛擬環境和雲環境中提供了防火牆，加密，安全性，邊界保護以及反惡意軟體。

論點3：你可以建立法規遵從性聯盟

雲反對者假定你不知道什麼可能會傷害到你的虛擬機器。 你如何得知雲提供方正在恰當地履行對你的約定?你如何得知雲提供方沒有將你的虛擬機器遷移到某個令人意想不到的、臭名昭著的國家?你如何確定提供方在遵循保護原則，尤其是當你不被允許直接和他們進行確認時?

實際上有很多方法可以確保法規遵從性。 並不需要直接對法規遵從性進行確認，正如證券交易委員會不會直接對所有公司進行審計一樣。 他們依靠的是可信的協力廠商比如會計事務所及其審計員。

資訊技術產業已經開始進行適當的聯邦審計以確保雲提供方完成了他們承諾提供的相應級別的虛擬機器安全性。 審計標準說明書70以及最新發佈的鑒證業務標準說明書16使用受信的協力廠商與已經發佈的流程相結合以完成聯邦審計任務。 國際標準組織的ISO9001標準定義了策略與策略遵從性。 這些策略同時還為問題整治提供了法律基礎，涉及的問題整治甚至遠遠超出了內部安全辦公人員飛出辦公大樓外訪問個人網站。

將這些審計功能與當今的虛擬機器安全技術相結合，你就已經走在通往堅實的雲安全的路上了。

雲中無安全的論斷失敗是因為論斷本身在技術上並不是必要的。 雲不只是個技術;雲是一種服務，因此雲安全不只包括了簡單的身份驗證，授權，加密以及存取控制。 你必須對雲環境進行規劃，提供恰當的虛擬機器以確保安全性，同時要瞭解協力廠商的雲安全審計。

採用非技術的方法確保虛擬機器資料的安全性通常比嚴格地關注比特與位元組更加重要。