网络和存储基础设施

虽然确保推进iaas云计算的网络和存储的安全性是一项涉及范围颇广的任务，但还是有一些应当实施的通用最佳实践。

对于存储环境而言，请谨记，如同其他任何的敏感文件一样，必须保护好虚拟机。某些文件存储有效的内存或内存快照(可能是最敏感的，如可能包含的用户凭据和其他敏感数据)，以及其他的文件代表系统的完整硬盘。在这两种情况下，这个文件中都包含了敏感数据。在存储环境中使用单独的逻辑单元号(luns)和区/域以隔离不同敏感性的系统，这是至关重要的。如果存储区域网络(san)级加密功能可用，请考虑它是否适用。

在网络侧，请务必确保单个网段是隔离的，并在虚拟本地局域网(vlan)和访问控制措施的掌控之下。如果在虚拟环境下细粒度安全控制是必须的，那么企业可以考虑使用虚拟防火墙和虚拟入侵检测设备。vmware公司的vcloud平台本身已集成了其vshield虚拟安全设施，而传统网络供应商的其他产品也是可用的。此外，还应考虑敏感虚拟机数据可能以明文传输的网段，如vmotion网络。在这个vmware环境中，明文内存数据将从一个管理程序传输至另一个，从而使敏感数据易于泄漏。

结论

当谈及确保虚拟环境或iaas私有云计算安全性时，上述控制措施的三个方面只是冰山一角。如需了解更多信息，vmware有一系列深入强化的实用指南以用于评估具体的控制措施，而openstack在其网站上提供了一个安全性指南。通过遵循一些基本的做法，企业可以构建他们自己的内部iaas云计算，并确保它们能够满足他们自己的标准和所有其他必要的行业要求。

(责任编辑：)