本文主要关注在私有云存储兴起后所带来的安全问题。如果一个企业利用如ParaScale Cloud Storage这样的商业软件或者使用开源的Hadoop,他们需要一种机制来控制对私有云的访问,尤其是当私有云需要与公有云共存并利用公有云计算环境进行资源扩展的时候。为了应对可能存在的安全问题,私有存储云需要一个强有力的安全的管理措施。私有云存储方面的安全问题包含以下几个方面:
- 通信安全:哪怕在私有云环境内的数据传输仍然不能忽视这一类的通信安全,对于存储云内部管理节点与存储节点,以及用户客户端与管理节点、存储节点间的通信都需要有一定的安全机制保证,必须予以加密。一些可能的方法是利用私有存储云软件提供的API进行通信模式设计。
- 隔离性:这里有两种情况的隔离需要考虑。首先,当私有云被切分成更小的子云分配给各个不同的部门使用时,可能这种分配会是动态的,因此必须保证数据的隔离。虽然两个部门共享同一个存储节点上的资源,但是彼此的数据必须是互相之间无法访问的。强隔离性是切分私有云的必要前提,否则所谓切分将不再具有意义。其次,公私有云并存的情况。最近IBM公布了与Juniper的合作,将会建立公私有混合云(Private-Public Cloud),根据私有云的资源需求,企业可以利用公有云扩展自身的私有云资源规模,因此在今后公有云与私有云混合存在的模式将会是一种云计算的发展方向。当私有云与公有云相连的时候,所有的云存储的数据都必须给于安全级别的标记。限制任何标记为较敏感的数据传输出企业防火墙内的私有云,但是一些不是很敏感的数据,安全级别低,可以存储并在公有云上处理。对于敏感数据而言,私有云与公有云之间必须建立起强大的隔离机制。
- 迁移安全:当数据在云存储节点间进行迁移的时候,需要考虑云存储节点的身份认证,传输数据过程中的安全私密,以及提出迁移请求的合法性(分为用户提出,管理员提出,系统根据策略自动提出等)。大多数情况是,存储云中的数据迁移是不需要用户知道的,另外仍需要关注的是存储云中公有私有云之间的数据迁移安全。
- 身份管理:对于存储云的主体和客体都需要进行身份验证和管理。这将是私有存储云进行访问控制的基础,一切对象都需要有一个唯一的且安全的标示自己身份的证书。这些将在用户和存储等对象在存储云中注册的时候获取,有请求的时候提供,可以结合LDAP等现有的一些方式。身份管理需要管理对象的身份信息安全级别等。
- 访问控制:需要对云存储的数据进行访问控制,可以基于身份以及其他的一些策略,比如地域,IP地址等。一个严格执行访问控制策略的私有存储云才能够完全称为私有,而不是单单简单的真对多了一道防火墙的公有云而言。访问控制的必要性也在于当前选择私有存储云的多为安全级别层次清楚的大公司,这类公司在多种资源访问中必然会涉及到对存储云内安全级别访问控制的设置。
原载: 云虚部落–虚拟化与云计算资讯[http://cloudvirtual.blogspot.com]
版权所有,转载请注明原始出处,保留博客地址链接,谢谢您的支持!
没有评论:
发表评论