私有存储云（Private Storage Cloud）需要考虑的安全问题

虚拟小虫

私有存储云是伴随着私有云的概念同步兴起的，指的是在企业完全可控的环境中假设属于企业的存储云。一些企业由于担心数据安全等问题，从而选择假设自己的私有云，因为云计算技术带来的大量的便利是十分诱人的。但是随着私有存储云的建立，新的安全问题也随之而来。首先，内部的访问控制需要被关注，因为私有云之所以为私有，在访问权限和控制级别上已经完全区别于公有的云计算提供商提供的云服务，但是去无法避免要处理大量对于内部的访问控制。尽管这一类的云在公司的防火墙内并且具有保护自己不受外部攻击，但是对于内部的非法访问和数据请求需要被关注。另外，一些企业有时需要将私有云连接到公有云，这就带来了更多的问题，比如如何隔离两个云，如何控制两个云之间的通信数据流，这些问题都需要被关注。

　　本文主要关注在私有云存储兴起后所带来的安全问题。如果一个企业利用如ParaScale Cloud Storage这样的商业软件或者使用开源的Hadoop，他们需要一种机制来控制对私有云的访问，尤其是当私有云需要与公有云共存并利用公有云计算环境进行资源扩展的时候。为了应对可能存在的安全问题，私有存储云需要一个强有力的安全的管理措施。私有云存储方面的安全问题包含以下几个方面：

    * 通信安全：哪怕在私有云环境内的数据传输仍然不能忽视这一类的通信安全，对于存储云内部管理节点与存储节点，以及用户客户端与管理节点、存储节点间的通信都需要有一定的安全机制保证，必须予以加密。一些可能的方法是利用私有存储云软件提供的API进行通信模式设计。
    * 隔离性：这里有两种情况的隔离需要考虑。首先，当私有云被切分成更小的子云分配给各个不同的部门使用时，可能这种分配会是动态的，因此必须保证数据的隔离。虽然两个部门共享同一个存储节点上的资源，但是彼此的数据必须是互相之间无法访问的。强隔离性是切分私有云的必要前提，否则所谓切分将不再具有意义。其次，公私有云并存的情况。最近IBM公布了与Juniper的合作，将会建立公私有混合云（Private-Public Cloud），根据私有云的资源需求，企业可以利用公有云扩展自身的私有云资源规模，因此在今后公有云与私有云混合存在的模式将会是一种云计算的发展方向。当私有云与公有云相连的时候，所有的云存储的数据都必须给于安全级别的标记。限制任何标记为较敏感的数据传输出企业防火墙内的私有云，但是一些不是很敏感的数据，安全级别低，可以存储并在公有云上处理。对于敏感数据而言，私有云与公有云之间必须建立起强大的隔离机制。
    * 迁移安全：当数据在云存储节点间进行迁移的时候，需要考虑云存储节点的身份认证，传输数据过程中的安全私密，以及提出迁移请求的合法性（分为用户提出，管理员提出，系统根据策略自动提出等）。大多数情况是，存储云中的数据迁移是不需要用户知道的，另外仍需要关注的是存储云中公有私有云之间的数据迁移安全。
    * 身份管理：对于存储云的主体和客体都需要进行身份验证和管理。这将是私有存储云进行访问控制的基础，一切对象都需要有一个唯一的且安全的标示自己身份的证书。这些将在用户和存储等对象在存储云中注册的时候获取，有请求的时候提供，可以结合LDAP等现有的一些方式。身份管理需要管理对象的身份信息安全级别等。
    * 访问控制：需要对云存储的数据进行访问控制，可以基于身份以及其他的一些策略，比如地域，IP地址等。一个严格执行访问控制策略的私有存储云才能够完全称为私有，而不是单单简单的真对多了一道防火墙的公有云而言。访问控制的必要性也在于当前选择私有存储云的多为安全级别层次清楚的大公司，这类公司在多种资源访问中必然会涉及到对存储云内安全级别访问控制的设置。

cloudvirtual

本文原载: 云虚部落–虚拟化与云计算资讯 http://cloudvirtual.blogspot.com
原文链接: http://cloudvirtual.blogspot.com ... ragehadoop-api.html

非常感谢您的支持，欢迎转载，不过请您转载的时候注明出处！再次感谢，欢迎常来我的博客逛逛