2011年1月7日消息,，雖然大家對(duì)云安全都有些初步了解，但是通過一些具體實(shí)例或許才能更深入了解云安全,。下面就為大家例舉四個(gè)大多數(shù)用戶都擔(dān)憂的問題并告訴大家這些問題是如何被解決的,。

云模式：SaaS

安全顧慮：?jiǎn)吸c(diǎn)登錄

　　當(dāng)Lincoln Cannon10個(gè)月前被一個(gè)擁有1500名員工的醫(yī)療器械公司聘用為網(wǎng)絡(luò)系統(tǒng)主管，他希望幫助銷售部門轉(zhuǎn)換到谷歌應(yīng)用和基于SaaS的訓(xùn)練應(yīng)用eLeap,，從而降低開發(fā)成本并提高生產(chǎn)力,。

　　不過，需要解決一些顧慮,。營(yíng)銷人員不希望用戶有多次登錄,，而IT部門則希望通過保留對(duì)訪問的控制權(quán),，特別是在增加新員工和員工離職要終止其賬戶的時(shí)候。

　　Cannon選用了Symplified的單點(diǎn)登錄,，因?yàn)樗梢耘cActive Directory進(jìn)行聯(lián)系并驗(yàn)證那些試圖登錄云應(yīng)用用戶的證書,。谷歌應(yīng)用使用API將用戶鑒別卸載給單點(diǎn)登錄的供應(yīng)商。但是如果使用eLeap,，系統(tǒng)則還需要使用身份驗(yàn)證適配器,。

　　Cannon認(rèn)為它就像是一個(gè)保全。因?yàn)橐氆@取eLeap訓(xùn)練案例或是Google應(yīng)用,，都需要通過單點(diǎn)登錄供應(yīng)商的驗(yàn)證,。而且它還與Active Directory同步。我們通過Symplified 進(jìn)行對(duì)被授權(quán)訪問這些SaaS應(yīng)用的帳戶進(jìn)行定義,，而要關(guān)閉一些AD帳戶時(shí),，它會(huì)適時(shí)對(duì)關(guān)閉的帳戶進(jìn)行阻止，以防這些帳戶訪問SaaS應(yīng)用,。

　　Symplified系統(tǒng)可以在SaaS模式中操作,，但是該器械公司選擇在其防火墻后部署一個(gè)由Symplified 托管的路由。之所以這樣做是因?yàn)镮T部門不想在云上管理用戶帳戶和密碼,。所有這些有關(guān)帳戶和密碼的操作都在防火墻后端進(jìn)行,。

云模式：IaaS

安全顧慮：數(shù)據(jù)加密

　　紐約的Flushing銀行，CIO Allen Brewer想改成用云進(jìn)行數(shù)據(jù)備份,。選用Zecurion的Zerver后,，F(xiàn)lushing銀行現(xiàn)在要將文件通過互聯(lián)網(wǎng)上進(jìn)行備份。而該銀行首先要考慮的問題就是數(shù)據(jù)加密以及找到一個(gè)能適應(yīng)銀行已有加密法則的服務(wù)供應(yīng)商,。Brewer表示,，有些公司以來供應(yīng)商提供加密，而他們則依靠自己,。所銀行發(fā)送和保存的數(shù)據(jù)都在供應(yīng)商處被加密,。

　　某些基于云的備份存儲(chǔ)供應(yīng)商將裝置安裝在客戶端以適應(yīng)加密，但是Flushing則對(duì)這樣的安裝不感興趣,。Brewer之所以選擇Zecurion是因?yàn)樗来鎯?chǔ)信息的數(shù)據(jù)中心的位置,。他表示，自己知道該公司三個(gè)數(shù)據(jù)中心之所在,，而并非將數(shù)據(jù)發(fā)送到云然后對(duì)數(shù)據(jù)位置一無(wú)所知,。

云模式：實(shí)地云

安全顧慮：虛擬化

　　當(dāng)SnagAJob.com的IT運(yùn)營(yíng)總監(jiān)Matt Reidy著手進(jìn)行公司為期三年的技術(shù)更新是，他的目標(biāo)是將公司現(xiàn)有的75%的虛擬環(huán)境提升到100%虛擬的,，私有的安全云計(jì)算,，并在其核心部分使用運(yùn)行VMware和vSphere的戴爾刀片服務(wù)器。

　　Reidy認(rèn)為,，RnagAJob作為一個(gè)增長(zhǎng)迅速具有發(fā)展?jié)摿Φ木W(wǎng)站需要以云模式獲得運(yùn)營(yíng)的靈活性,。在技術(shù)更新以前,，SnagAJob擁有一個(gè)多層架構(gòu)，該架構(gòu)的防火墻為Web,，應(yīng)用和數(shù)據(jù)層進(jìn)行物理隔離,。Reidy以前可以移除物理防火墻，然后從Altor網(wǎng)絡(luò)公司那里部署一個(gè)虛擬防火墻來實(shí)現(xiàn)百分比的虛擬化,。而物理防火墻今后將只存在于防入侵檢測(cè)和防御裝置之外的周邊產(chǎn)品中,。

　　Reidy還解釋稱，在vShpere 版本四出來前,，用戶可以將防火墻裝置作為虛擬機(jī)運(yùn)行,，但是其性能受到很大局限，因?yàn)榫W(wǎng)絡(luò)流量必須通過這些虛擬機(jī),。而現(xiàn)在,，vSphere具備一個(gè)名為VMsafe的API，可以讓Altor,Checkpoint等防火墻供應(yīng)商把流量檢測(cè)轉(zhuǎn)移到VMware核中,。

　　Reidy認(rèn)為新版本改善了產(chǎn)品的性能,，穩(wěn)定性和安全性。有了Altor虛擬防火墻,，他的團(tuán)隊(duì)現(xiàn)在還能觀察流量在虛擬機(jī)之間的傳輸,，包括協(xié)議和數(shù)據(jù)大小。在虛擬云領(lǐng)域這是一項(xiàng)挑戰(zhàn),，因?yàn)閭鹘y(tǒng)的產(chǎn)品是做不到這一點(diǎn)的,。而現(xiàn)在，我們可以獲得更多安全性,，因?yàn)槲覀兛梢钥吹綌?shù)據(jù)的傳輸并在此觀察的基礎(chǔ)上編寫規(guī)則,。其他還具有這種可視性功能的產(chǎn)品還包括思科的NetFlow和瞻博網(wǎng)絡(luò)的J-Flow，以及一個(gè)名為sFlow的開放型系統(tǒng)標(biāo)準(zhǔn),。

云模式：PaaS

安全顧慮：虛擬化，業(yè)務(wù)持續(xù)性,，審核

　　在新開的公司里,，Kavis選擇讓Amazon托管公司的整個(gè)架構(gòu)。在此之前,，他與要部署虛擬機(jī)的安全專家進(jìn)行了商談以明確自己的需求,。然后Kavis創(chuàng)建了一個(gè)應(yīng)用那些控件的虛擬圖片，并創(chuàng)建了一個(gè)抽印程序以便可以隨時(shí)復(fù)制并依據(jù)需要安裝一個(gè)新的虛擬機(jī),。

　　Kevis說：“Amazon提供了虛擬圖像軟件,，但是其安全性卻不夠。” “如果使用PaaS,，那就只有這個(gè)問題需要處理,，不過如果是使用IaaS,，我就可以將安全性能設(shè)置到我希望的級(jí)別，而且操作上還會(huì)更具靈活性,。”

　　Kavis還需要執(zhí)行系統(tǒng)管理員應(yīng)該執(zhí)行的所有函數(shù),，如打開和關(guān)閉端口，編寫配置,，鎖定數(shù)據(jù)庫(kù),。而他使用Amazon提供的LAMP堆棧。Kavis非常滿意于Amazon提供的周邊安全,，并認(rèn)為其產(chǎn)品達(dá)到了很多公司做不到的級(jí)別,。

　　為了保障業(yè)務(wù)持續(xù)性，Kavis將所有的數(shù)據(jù)都復(fù)制到兩個(gè)以上的額外環(huán)境中,。除非Amazon多個(gè)地域的環(huán)境全部癱瘓,，Kavis公司的業(yè)務(wù)才會(huì)癱瘓。不過Amazon每個(gè)指定域都擁有較高的可靠性,，因此所有業(yè)務(wù)在同一時(shí)間全部癱瘓的可能性微乎其微,。

　　Kavis還要解決的另一個(gè)問題是審核。由于規(guī)則還不能反映出云計(jì)算,，所以規(guī)則會(huì)將訪問送入物理盒內(nèi),，而用戶不能在公共云中進(jìn)行此操作。對(duì)于符合規(guī)則的數(shù)據(jù),，Kavis計(jì)劃使用一個(gè)虛擬專有云,。這樣供應(yīng)商就會(huì)說：“你的服務(wù)器被鎖定，如果你需要審核,，可以將帶審計(jì)員來檢查,。我們將以此來完成審計(jì)，但是所有的操作都將在公共云上進(jìn)行,。”即便用戶需要就地收錄特定類型的數(shù)據(jù),，從規(guī)模和成本角度出發(fā)，也需要將進(jìn)程卸載到公共云,。