夯实基础 私有云的安全从芯片开始

在云计算热度不断上升的今天，私有云成为了大中型企业的首选。据市场研究公司Springboardresearch早前的调查显示，在选择不同的云计算模式上，34%的受访者表示更愿意选择部署私人云，同时有14%的受访者选择公共云服务。

IDC也得出了相同的结论，IDC分析师透露，在亚太市场上，越来越多的的公司首席信息官(CIO)们关注私有云的安全风险问题以及公共云所带来的服务可用性和其表现。之前，亚太地区的CIO们表现出对公共云项目的兴趣，而现在，安全性，性能表现和服务的可用性驱使他们正在将注意力转移到私有云的部署上。

因而，IDC认为2011对于私有云来说将是重要的一年，因为越来越多的公司期待在公司内部的云计算数据中心环境下建立一个虚拟化的环境，并且这将是一个更安全的选择。

私有云的安全落点

不管是公有云、私有云还是兼具两种形态的混合云，都面临着不同的安全威胁，这也是许多企业在实施云计算时颇为顾虑的地方。

其中，私有云的安全问题与传统企业或组织内部的信息资产安全问题差别不大。以往存在的安全威胁也是私有云的安全威胁。而私有云的建立一定程度上会提高企业或组织内部的信息资产安全。因为私有云很大程度上解决了企业或组织内部经常存在的数据分散不能有效集中管理所带来的风险。

事实上，云计算的安全更多的是取决于云计算基础架构。云计算部署之初，直接采用从底层开始系统设计和开发的云计算基础架构还是少数的，更多的是近似的云基础架构，也就是说大多数云基础架构没有深层次的考虑应用和服务的需求和特点。

这种情况下，整个云计算基础架构的可靠性、可用性都存在一些问题，当然也包括安全性。这样的系统更容易遭受到攻击，不仅仅包括一切现有网络应用中存在的攻击行为和方式，而且由于整个基础架构上的不完善，更多的漏洞和缺陷将被利用，其所带来的损失和危害也更大。应对这些安全隐患，需要更加重视云基础架构的全面和系统的设计，在必要的基础服务设施及内部网络上引入有针对性的技术和产品。

此外，云端虚拟化是构建云基础架构平台的重要手段，也正是因为虚拟化的重要性，它本身的安全问题也是云基础架构平台所需要重点考虑的。虚拟化在某种程度上会带来某些安全特性的提升，如对用户行为进行了一定程度上的隔离。但另一方面，它所引入的风险也不容小视。虚拟环境下很多传统的安全防护产品将失去作用，而一旦一个虚拟节点遭到入侵，将给整个云基础架构带来致命的威胁。

从“芯”开始构建云基础架构

云计算的安全同样引起了IT厂商的高度重视。英特尔就联合EMC和VMware发布了共同愿景，即为核心业务的云服务建立一个更加安全、透明、负责的基础架构。三者还在RSA大会上一起展示了可信任云基础架构的愿景，它能够为运营私有云的组织和服务提供商带来巨大的运营效益。

可信任云基础架构包含了硬件信任根、安全虚拟环境、安全信息与事件管理，以及GRC(治理、风险与合规) 管理软件，可以说对云计算最底层的实际情况提供真正空前的可视性。

这一全新可信计算架构的基础源于Intel可信执行技术（Trusted Execution Technology, TXT)。它鉴别启动序列的每一个步骤，从验证硬件配置、到初始化BIOS，再到启动管理程序。一旦启动，VMware虚拟环境搜集硬件和虚拟层的数据，将源源不断的元数据流入RSA enVision安全信息及事件管理平台。RSA enVision解决方案分析流经虚拟层的事件，识别出影响安全性和一致性的事件和情况。然后，这一信息在Archer SmartSuite Framework解决方案中形成文字，通过中央控制台，呈现出统一的、基于策略的组织安全及合规情况评估。

除了云基础架构外，英特尔还在芯片端提供更强大的虚拟化功能，以确保企业在云端虚拟化时确保安全。

英特尔最新的增强型虚拟化技术，不仅涵盖了处理器，还将芯片组和网络连接组件囊括了进来。它融合了针对处理器的VT-x、针对芯片组的VT-d和针对网络连接组件的VT-c技术，可确保服务器平台上的多个虚拟机直接访问和充分利用系统的计算、I/O、存储和网络资源，并实现灵活的迁移和高效便携的管理。

以针对处理器的VT-x技术为例，它包括了英特尔VT FlexPriority——当处理器执行任务时，往往会收到需要注意的其它设备或应用发出的请求或“中断”命令。为了最大程度减少对性能的影响，处理器内的一个专用寄存器（APIC任务优先级寄存器，或 TPR）将对任务优先级进行监控。如此一来，只有优先级高于当前运行任务的中断才会被及时关注。

英特尔虚拟化灵活迁移技术（Intel VT FlexMigration）——虚拟化的一个重要优势是能够在无需停机的情况下，将运行中的应用在物理服务器之间进行迁移。英特尔虚拟化灵活迁移技术旨在实现基于英特尔处理器的当前服务器与未来服务器之间的无缝迁移，即使新的系统可能包括增强的指令集也不例外。借助此项技术，管理程序能够在迁移池内的所有服务器中建立一套一致的指令，实现工作负载的无缝迁移。这便生成了可在多代硬件中无缝运行的更加灵活、统一的服务器资源池。

以上这些，都保证了云计算中心在响应和调度计算和存储等资源时能顺畅平滑地进行，给云计算中心提供了安全保障。

总之，以英特尔等为代表的IT厂商，通过一系列的技术创新，为私有云的安全提供了芯片级的保障。