IaaS安全风险处理

IaaS为用户提供计算、存储、网络和其它基础计算资源，用户可以在上面部署和运行任意的软件，包括操作系统和应用程序，用户不用管理和控制底层基础设施，但要控制操作系统、存储、部署应用程序和具有对网络组件（如主机防火墙）具有有限的控制权限的能力。

1、客户数据可控以及数据隔离。

对于数据泄漏风险而言，解决此类风险主要通过数据隔离。可以通过三类途径来实现数据隔离：

其一，让客户控制他们需要使用的网络策略和安全。

其二， 从存储方面来说，客户的数据应该存储在虚拟设备中，由于实际上虚拟存储器位于更大的存储阵列上，因而采取了虚拟存储，便可以在底层进行数据隔离，保证每个客户只能看到自己对应的数据。

其三，在虚拟化技术实现中，可以考虑大规模部署虚拟机以实现更好的隔离，以及使用虚拟的存储文件系统，比如VMware的VMFS文件系统。

2、综合考虑数据中心软硬件部署。

在硬件选用中，考虑品牌厂商，硬件的选择要综合考虑质量、品牌、易用性、价格、高可维护性等一系列因素，并选择性价比高的厂商产品。在虚拟化软件选择中，也需要在价格、厂商、质量之间平衡。建议有条件的客户首先聘请咨询公司进行咨询。市场上，目前有三个云计算联盟可以提供完整的云计算解决方案，包括从底层的硬件到上层的软件。分别是Cisco+EMC+VMware，IBM，HP+Microsoft.

3、建立安全的远程管理机制。

根据定义，IaaS资源在远端，因此你需要某些远程管理机制，最常用的远程管理机制包括：

VPN：提供一个到IaaS资源的安全连接。

远程桌面、远程Shell：最常见的解决方案是SSH.

Web控制台UI：提供一个自定义远程管理界面，通常它是由云服务提供商开发的自定义界面（如管理亚马逊AWS服务的RightScale界面）。

对应安全策略如下：

A.缓解认证威胁的最佳办法是使用双因子认证，或使用动态共享密钥，或者缩短共享密钥的共享期。

B.不要依赖于可重复使用的用户名和密码。

C.确保安全补丁及时打上。

D.对于下面这些程序：SSH：使用RSA密钥进行认证；微软的远程桌面：使用强加密，并要求服务器认证；VNC：在SSH或SSL/TLS隧道上运行它；Telnet：不要使用它，如果你必须使用它，最好通过VPN使用。

E. 对于自身无法保护传输数据安全的程序，应该使用VPN或安全隧道（SSL/TLS或SSH），推荐首先使用IPSEC，然后是SSLv3或TLSv1.

4、选择安全的虚拟化厂商以及成熟的技术。

最好选择要能有持续的支持以及对安全长期的厂商。定期更新虚拟化安全补丁，并虚拟化安全。

成熟的虚拟化技术不但能够预防风险，在很大情况下还能增强系统安全性，比如VMware对有问题虚拟机的隔离，DRS系统动态调度，微软Hyper-V技术中防止未经授权的虚拟机之间的通信等。

（编辑：宿州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!