赛门铁克首席信息安全技术顾问林育民

在第四届中国CIO年会下午的信息安全分论坛中，赛门铁克首席信息安全技术顾问林育民给我们带来的以“如何打造安全、可靠私有云”为题的精彩演讲：如何打造一个安全可靠的私有云。在今天早上峰会的论坛中，第一个提出的问题也是关于安全的问题，对于大家现在最关注的私有云，我们该怎么去做打造呢？企业虚拟化是一个比较关键性的技术，你要找到云计算，不见得一定要有虚拟化技术，不过现在对于大多数企业要达到私有云，虚拟化还是最关键的技术。

虚拟化各个走向私有云的话，会从一些应用的测试开发开始，到一些IT应用，逐步走向虚拟化，然后慢慢把一些商务应用走向虚拟化最后，才是把关键应用走向虚拟化，最后走向私有云。关键应用走到虚拟化后，放到私有云上的话，相当关键的一部分就是要保障它的安全。

事实上在云来讲的话，是希望能够增加IT的灵活度，降低IT的成本。到2012年为止，60%走向虚拟化的服务器，比原来在物理环境里面更不安全，为什么会这样呢？后面我会给大家做一个分析。在虚拟化环境当中，要保障你的安全的话，它是一个逐步建设的过程。把一个物理机移到虚拟机底下的话，你考虑的第一个问题是什么？防病毒，这是最先想到的。在整个数据中心，周边已经有防火墙了，但是走到虚拟环境以后，把网络的一些边界打破了，或者走到云环境以后，把网络边界打破了，原本可能透过网络设备控制彼此之间的流量，可是现在你把不同的物理机放到虚拟虚拟机下的话，在同一个平台上的虚拟机之间可以相互通讯，现在一些虚拟机的管理员变成具有网络管理员一样的权限，可以去修改网络上的配置，因为在虚拟管理层里面可以配置自己的虚拟网络，在这个环境底下，如何去做好你的网络安全的保障，如何去分割管理的权限，这会是一个新的挑战。

当这些问题完成以后，下一部分是如何做管理，因为在整个虚拟化环境里面或者在云的环境里面，我们非常强调资源的动态调度，当你的资源在做动态调度的状况下，你的安全策略如何随着虚拟机的移动来得到保障，这是一个新的挑战。

如何建构一个完善的新区域？跟物理机之间建立一个虚拟区域，最后做到一个安全能见度，对整个虚拟化环境能够掌控，之后才能去打造一个安全可靠的私有云。事实上根据调查我们也发现到，我们企业在导入虚拟化过程当中，40%的企业在这个过程当中是没有邀请安全团队加入去做评估的，所以很多的企业因为导入了虚拟化以后，他在安全上面的防护或者说控管就薄弱很多。

我们来看看在一般虚拟化数据中心与私有云基础架构上，我们大概会面临哪些主要的安全挑战呢？我们多加一台物理机是不容易的，因为每一个机房都有物理机的控制，要把一台服务器搬进去或者搬进来是很难的。但是在虚拟化环境里面，多一台服务器是很容易的，所以在虚拟化环境当中非常容易实现的。这是第一方面。

(责任编辑：)