四個真實案例 讓你0距離觸摸雲安全

雖然大家對雲安全都有些初步瞭解，但是通過一些具體實例或許才能更深入瞭解雲安全。 下面就為大家例舉四個大多數使用者都擔憂的問題並告訴大家這些問題是如何被解決的。

雲模式：SaaS

安全顧慮：單點登錄

當Lincoln Cannon10個月前被一個擁有1500名員工的醫療器械公司聘用為網路系統主管，他希望説明銷售部門轉換到谷歌應用和基於SaaS的訓練應用eLeap，從而降低開發成本並提高生產力。

不過，需要解決一些顧慮。 行銷人員不希望使用者有多次登錄，而IT部門則希望通過保留對訪問的控制權，特別是在增加新員工和員工離職要終止其帳戶的時候。

Cannon選用了Symplified的單點登錄，因為它可以與Active Directory進行聯繫並驗證那些試圖登錄雲應用使用者的證書。 谷歌應用使用API將使用者鑒別卸載給單點登錄的供應商。 但是如果使用eLeap，系統則還需要使用身份驗證配接器。

Cannon認為它就像是一個保全。 因為要想獲取eLeap訓練案例或是Google應用，都需要通過單點登錄供應商的驗證。 而且它還與Active Directory同步。 我們通過Symplified 進行對被授權訪問這些SaaS應用的帳戶進行定義，而要關閉一些AD帳戶時，它會適時對關閉的帳戶進行阻止，以防這些帳戶訪問SaaS應用。

Symplified系統可以在SaaS模式中操作，但是該器械公司選擇在其防火牆後部署一個由Symplified 託管的路由。 之所以這樣做是因為IT部門不想在雲上管理使用者帳戶和密碼。 所有這些有關帳戶和密碼的操作都在防火牆後端進行。

雲模式：IaaS

安全顧慮：資料加密

紐約的Flushing銀行，CIO Allen Brewer想改成用雲進行資料備份。 選用Zecurion的Zerver後，Flushing銀行現在要將檔通過互聯網上進行備份。 而該銀行首先要考慮的問題就是資料加密以及找到一個能適應銀行已有加密法則的服務供應商。 Brewer表示，有些公司以來供應商提供加密，而他們則依靠自己。 所銀行發送和保存的資料都在供應商處被加密。

某些基於雲的備份存儲供應商將裝置安裝在用戶端以適應加密，但是Flushing則對這樣的安裝不感興趣。 Brewer之所以選擇Zecurion是因為他知道存儲資訊的資料中心的位置。 他表示，自己知道該公司三個資料中心之所在，而並非將資料發送到雲然後對資料位置一無所知。

雲模式：實地雲

安全顧慮：虛擬化

當SnagAJob.com的IT運營總監Matt Reidy著手進行公司為期三年的技術更新是，他的目標是將公司現有的75%的虛擬環境提升到100%虛擬的，私有的安全雲計算， 並在其核心部分使用運行VMware和vSphere的戴爾刀片伺服器。

Reidy認為，RnagAJob作為一個增長迅速具有發展潛力的網站需要以雲模式獲得運營的靈活性。 在技術更新以前，SnagAJob擁有一個多層架構，該架構的防火牆為Web，應用和資料層進行物理隔離。 Reidy以前可以移除物理防火牆，然後從Altor網路公司那裡部署一個虛擬防火牆來實現百分比的虛擬化。 而物理防火牆今後將只存在於防入侵偵測和防禦裝置之外的周邊產品中。

Reidy還解釋稱，在vShpere 版本四出來前，使用者可以將防火牆裝置作為虛擬機器運行，但是其性能受到很大局限，因為網路流量必須通過這些虛擬機器。 而現在，vSphere具備一個名為VMsafe的API，可以讓Altor,Checkpoint等防火牆供應商把流量檢測轉移到VMware核中。

Reidy認為新版本改善了產品的性能，穩定性和安全性。 有了Altor虛擬防火牆，他的團隊現在還能觀察流量在虛擬機器之間的傳輸，包括協定和資料大小。 在虛擬雲領域這是一項挑戰，因為傳統的產品是做不到這一點的。 而現在，我們可以獲得更多安全性，因為我們可以看到資料的傳輸並在此觀察的基礎上編寫規則。 其他還具有這種可視性功能的產品還包括思科的NetFlow和瞻博網路的J-Flow，以及一個名為sFlow的開放型系統標準。

雲模式：PaaS

安全顧慮：虛擬化，業務持續性，審核

在新開的公司裡，Kavis選擇讓Amazon託管公司的整個架構。 在此之前，他與要部署虛擬機器的安全專家進行了商談以明確自己的需求。 然後Kavis創建了一個應用那些控制項的虛擬圖片，並創建了一個抽印程式以便可以隨時複製並依據需要安裝一個新的虛擬機器。

Kevis說：「Amazon提供了虛擬影像軟體，但是其安全性卻不夠。 」 「如果使用PaaS，那就只有這個問題需要處理，不過如果是使用IaaS，我就可以將安全性能設置到我希望的級別，而且操作上還會更具靈活性。 」

Kavis還需要執行系統管理員應該執行的所有函數，如打開和關閉埠，編寫配置，鎖定資料庫。 而他使用Amazon提供的LAMP堆疊。 Kavis非常滿意于Amazon提供的周邊安全，並認為其產品達到了很多公司做不到的級別。

為了保障業務持續性，Kavis將所有的資料都複製到兩個以上的額外環境中。 除非Amazon多個地域的環境全部癱瘓，Kavis公司的業務才會癱瘓。 不過Amazon每個指定域都擁有較高的可靠性，因此所有業務在同一時間全部癱瘓的可能性微乎其微。

Kavis還要解決的另一個問題是審核。 由於規則還不能反映出雲計算，所以規則會將訪問送入物理盒內，而使用者不能在公共雲中進行此操作。 對於符合規則的資料，Kavis計畫使用一個虛擬專有雲。 這樣供應商就會說：「你的伺服器被鎖定，如果你需要審核，可以將帶審計員來檢查。 我們將以此來完成審計，但是所有的操作都將在公共雲上進行。 」即便使用者需要就地收錄特定類型的資料，從規模和成本角度出發，也需要將進程卸載到公共雲。