利用委托特权提升云安全性精编版[28页].doc

《利用委托特权提升云安全性精编版[28页].doc》由会员分享，可在线阅读，更多相关《利用委托特权提升云安全性精编版[28页].doc（28页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、最新资料推荐利用委托特权提升云安全性Jim Zierick, 执行副总裁, BeyondTrust Software简介：本文中，作者将讨论促使数据中心迁移到云的一些需求，详细介绍虚拟化在公共和私有云基础架构中的作用，并简要说明云计算的安全性和遵从性含义，了解如何通过 “管理性访问” 和 “特权委托” 保护云中的敏感数据。发布日期：2012 年 2 月 27 日 级别：初级 原创语言：英文 访问情况 ：8268 次浏览 评论：0(查看|添加评论 - 登录) 平均分 (2个评分)为本文评分虚拟机使得硬件购买及部署与软件部署的分离成为可能，并且可以让企业内交付速度加快 10、20 甚至 30 倍。

2、 Thomas J. Bittman，副总裁兼高级分析师，Gartner在当今的经济环境中，许多企业都在努力降低成本，少花钱多办事，同时还要保持竞争力。这就意味着 IT 部门面临严格的审查，以确保他们能够满足关键业务需求，并以最高效、最合算的方式交付预期的结果。为了克服这些困难，IT 组织正日益偏离以设备为中心的 IT 观点，转向更加专注于应用程序、信息和人员上的云计算特征。云计算是一项正在兴起的技术，它提供了对动态可伸缩和虚拟化 IT 资源的快速访问，为企业创建轻便、强壮、成本高效、更适合业务目标的 IT 基础架构带来了新的激动人心的机会。但是，必须先处理好某些跟控制、遵从性和安全性有关的权

3、衡，才能充分发挥这些优势。本文将描述能够促进数据中心向云迁移的一些因素，包括虚拟化在公共云基础架构中的作用，并简要说明云计算的安全性和遵从性含义，了解如何通过 “管理性访问” 和 “特权委托” 这两种关键方法保护云中敏感数据。为何迁移到云？为什么企业想要将数据中心迁移到云呢？原因很简单，主要有两个：一是因为虚拟化服务器提供的灵活性，二是较大私有云或公共云的规模经济为当今的计算需求创建了一个更好的经济模式。虚拟化为更好的经济模式提供了起点：在工作负载发生变化时提供更高的服务器和存储硬件利用率： 当跨公共云中的业务单位或者跨公共云中的公司共享资源时，会增加规模经济甚至更高的资源利用率，因而您有了一

4、个更低的成本模式。 增加了灵活性，可以只为所使用的资源付费，而不会带来大量的固定成本和巨额资本支出，因而 IT 可以更好地满足很多行业的业务需求。但是，除了简单的经济意义之外，云模型更能提供重大的操作优势。通过缩短配备所需应用程序和工作负载的时间，虚拟化又为更好的操作模式提供了起点。通过让 最终用户从物理基础架构的复杂性和配备及管理过程的细节中解脱出来，云模型建立了这些能力，这使得计算跟任何其他业务服务一样容易购买和管理，也为计次服 务 (measured service) 和服务水平协议提供度量。除此之外，还为移动或远程用户提高了可靠性和可访问性，云成为一种非常有价值的主张。回页首虚拟化充当

5、促成者尽管云并不是本质上的虚拟化，但是虚拟化是云计算的一个关键组件和主要促成者。虚拟化的服务器和存储器让工作负载变动时的物理硬件利用率更高。在需要时自动转移工作负载的能力增加了可靠性，无需为每个应用程序提供冗余硬件（通常未充分利用）。云提供者建立在虚拟化的经济优势之上；这一点与规模经 济及日常系统管理自动化相结合，带来了成本节约，使得基于云的数据中心成为一种经济可行的解决方案或补偿方式。然而，将数据迁移到云的企业必须考虑到虚拟 环境管理不当时面临的风险。此外，虚拟化正使得 IT 部门本身成为企业的一个事实上的服务提供者。通过缩短配备所需应用程序和工作负载的时间，虚拟化又为更好的操作模式提供了起

6、点。通过让最终用户从物理基础 架构的复杂性和配备及管理过程的细节中解脱出来，服务器虚拟化 “帮助 IT 在行为上更像一个云提供者，并将企业准备成一个更好的云计算消费者”。（出自 GartnerGroup，“Server Virtualization: One Path That Leads to Cloud Computing”，RAS Core Research Note G00171730，Thomas J. Bittman，2009 年 10 月 29 日。） 那么，这对数据中心和 IT 操作意味着什么呢？高度虚拟化的数据中心的第一特征是要管理的服务器数量急剧增加。这种不断增大的规模（服

7、务器从百到千、从千到万地增长）大大增加了数据 中心操作的复杂度。更改和配置管理变得更为重要且富有挑战性，并且自动化从一种很好的省钱方式变成了基本需求。由于虚拟环境和云环境中这种额外的复杂性，客户数据被暴露到不只是纯物理环境中存在的安全问题中。IT 堆栈中增加的虚拟层在已建立的安全模型中引入了一个新的故障点，并为恶意知情人的入侵增加了一个新的攻击面。Hypervisor 层次的任何安全攻击都会发展到危及堆栈中这一层次之上的所有层（从操作系统一直到数据层和应用程序层）的安全性。回页首云数据中心的危险根据 IDC Enterprise Panel 调查，迁移到云计算环境的企业关心的第一个问题就是安全

8、性（见图 1）。图 1. 安全性是迁移到云中时关注的第一个问题围绕特定应用程序、客户、业务单位、操作和法规遵从性而构建专用 IT 基础架构所导致的筒仓（silo），通常是企业 IT 环境规模和复杂性急剧增大的结果。尽管云计算消除了数据中心的传统应用程序筒仓，并为 IT 组织带来了新级别的灵活性和可伸缩性，但是对多租户计算环境的支持也引入了额外的安全风险，其中最大的潜在危险是数据窃取。尽管安全性对于迁移到云的客户来说是重中之重，但是对于云提供者并不总是那么重要。Ponemon Institute 最近一次关于 “云计算提供者的安全性” 的调查指出，“多半云计算提供者并不认为安全性是他们最重要的职

9、责之一”。另外，“调查对象绝大多数认为，确保他们提供的资源的安全性是云计算用户的职 责”。很多云供应商有广泛的操作，提供更多资源和专业知识，来解决虚拟化和云模型中固有的安全难题。尽管云让企业无需操作自己的服务器、存储器、网络和软件，但是它也消除了很多有助于定义和保护企业数据资产的传统物理边界，并引入了新的风险，因为虚拟服 务器和移动的虚拟机器取代了物理服务器和防火墙。虚拟化消除了物理服务器之间的隔离，并且不再能够将多个设备清楚地分隔成物理上独立的网络。没有了这种物理隔离和网络隔离，就较难限制系统和网络管理员的访问途径。云环境规模和灵活性的增大，增加了更改和配置管理的复杂度，这使得实现最小特权主

10、体和职责划分更难了。例如，具有虚拟基础架构管理资格的恶意用户可以克隆虚拟机器，以获得对客户机器中包含的所有数据的访问权。他们甚至可以克隆这台虚拟机器，删除该克隆对象，并将删除的镜像安装在您的正常安全监视范围之外。由于云为敏感数据和应用程序制造了千变万化的入侵环节，保护这些资产变得更加困难了。敏感信息不应该放在云中存储或处理而不监视供应商的技术和处理过程，以确保适当级别的信息保护。回页首云计算的主要攻击根据 Cloud Security Alliance 的 “Top Threats to Cloud Computing v1.0”（2010 年 3 月），以下攻击被认为是云计算的主要安全攻击（

11、不分先后顺序）： 滥用和恶毒使用云计算：IaaS 提供商利用一种简单、容易、相当开放的注册过程，提供一种无限计算、网络和存储能力的假象。垃圾邮件发送者可以使用这种注册过程达到他们的目的。尽管传统 上 PaaS 提供商最多遭受此类攻击，但是最近有证据表明，这类攻击者也针对 IaaS 供应商。关注的领域包括密码和密钥破解、DDOS、发动动态攻击点、宿主恶意数据、botnet 命令和控件、构建彩虹表和 CAPTCHA 解析器。 不安全的接口和 API：云提供者暴露一组软件接口或 API，让客户用来管理云服务以及与云服务交互（即配备、管理、编排和监视）。普通云服务的安全性和可用性都依赖于这些基本 AP

12、I 的安全性。企业通常依赖这些 API 来提供增值服务，因而通过 API 分层增加了复杂性。关注的领域包括身份验证、访问控制、加密和活动监视。 恶意知情人：通过单个管理领域下 IT 服务和消费者的合并，加之提供者的流程和过程缺乏透明度，这一攻击对于云消费者被加强了。关注的领域包括：提供者如何向员工提供物理和虚拟资产的访问权， 如何监视这些员工，如何分析和报告政策遵从性。云提供者的雇用标准和惯例也会是一个关注方面。 共享的技术漏洞：IaaS 供应商通过共享基础架构以可伸缩的方式交付服务；组成该基础架构的组件可能并不被设计成为多租户体系结构提供强大的隔离属性。虚拟化 hypervisor 被用于调

13、解客户 OS 和物理计算资源之间的访问，但是即使 hypervisor 也具有缺陷，让客户 OS 能够获得不适当级别的对底层平台的控制或影响。关注的领域包括计算、存储和网络安全性实施和监视。 数据丢失/泄漏：由于风险与挑战很多并且二者相互促进（由于云环境体系结构或操作上的特征，这些风险 和挑战要么是云所特有的，要么在云中更危险一些），数据泄漏的攻击在云中增多了。关注的领域包括不进行备份的记录删除或更改、取消记录与较大上下文的链 接、编码密钥丢失和未经授权的部门获得对敏感数据的访问权。 账户或服务劫持：云增加了一种新的攻击；账户或服务实例可能成为攻击者的新目标。关注的领域包括网络仿冒、欺诈、软件

14、漏洞利用和经常重复使用的凭据和密码。用于访问云供应商管理的 hypervisor/VMM 层的管理工具必须受到严格控制，以保持高度的安全性。企业必须仔细分析业务和安全需求，并且必须评估安全特性和云服务水平的深度及可靠性。恶意知情人对企业的影响是相当大的，假定他们的访问级别和能力足以入侵企业和资产的话。品牌损害、财务影响和生产力丧失只是恶意知情人影 响操作的其中几种方式。由于企业采用云服务，所以人的因素显得尤为重要。因此，云服务的消费者一定要明白提供者在采取什么措施检测和防御恶意知情人攻击。 出自 Cloud Security Alliance，“Top Threats to Cloud Com

15、puting v1.0”，2010 年 3 月。 那么，为什么客户需求和供应商优先考虑的问题似乎挂不上钩呢？一部分原因可能是，云安全性本质上是一种共同的职责。我们定义和实现安全性的方式主要是由遵 从性驱动的。但是，尽管框架从 COBIT 到 PCI 有很多，但是遵从性标准也不是非常清晰，给每个审计人员做出不同的解释留下足够的空间。根据 Ponemon 调查，云提供者 “至少要自信有能力限制特权用户对敏感数据的访问”。至少缺乏这种自信的部分原因可以确切地归因于，对特权访问和适当控制缺乏清晰的定义。这种提供者流程 和过程的透明度缺乏（比如说它的员工是怎么被授予物理和虚拟资产访问权的），使得防止数据

16、窃取更为困难。来自众多客户的重要数据的汇集为不道德的系统管理 员以及基于互联网的恶意攻击者的攻击呈现了一个有吸引力的目标，因而应该提高对特权用户访问的关注。想要使用云并需要以安全和遵从的方式实现它的企业将需要考虑由谁负责哪些工作： 云供应商需要做好自己的份内工作，即提供一个良好的安全技术基础，比如说防火墙、反病毒和反流氓软件、数据动态加密、补丁管理和日志管理。 云消费者也需要做好自己的工作，即使用云供应商提供的这个基础，保证操作的安全并确保具有适当的政策和流程。因此，这导致人员情况复杂 云中共享的职责以及特权用户的特殊情况。供应商优先考虑事项将与其客户的优先考虑事项配套。当今，对于大多数云用户

17、来说，这些优先考虑事项是减少成本、工作负载和部署时间，同时提供新级别的可伸缩性。这些优先考虑事项有一些与保证适当安全性所需的时间和资源是矛盾的。但是，如果客户有某项安全要求并表示愿意为之付费，那么供应商将义无反顾地提供其所需的安全性。Ponemon Institute 最近一个关于 “云计算提供者的安全性” 的报告显示，“尽管安全性当今还很少作为云的一个真正的服务提供给消费者，但在我们调查中，大约三分之一的云提供者都认为这类解决方案是未来两年新的收入 来源。”只有客户提供重视、资金和服务水平需求来实现出色而又安全的流程，为供应商制定一个好的业务决策，潜在收益才能完全实现。这需要安全团队投入更多

18、 的精力，并且公司允许安全性影响采购决策并坚持定期报告安全流程和服务水平协议。想要云供应商足够安全以保护其公司敏感数据的企业需要强调安全性，提出自己的需求，监视控制，要求提供报告，并最终分担云安全性的共同职责。公共云的替代方法是，企业采用私有云基础架构作为对自己的数据获得更多控制的一种方式；但是仍然需要采取措施来检测和防御恶意知情人攻击。当今多数企业对进一步迁移到云模型持积极态度，但是犹豫着不敢将自己的任务关键型数据放入未经测试的云中。有一个完整的技术生态系统来促进正在成长中的云，但是需要适合于云环境的独特需求。回页首遵从性焦点问题利用云环境的企业最大的一个困难是证明政策遵从性。对于很多通常运

19、行在云中的业务功能（比如说宿主网站和 wiki），为底层基础架构的安全性具有一个云提供者担保通常就足够了。但是，对于业务关键型流程和敏感数据，能够为自己验证底层云基础架构是安全的对于 企业来说绝对非常重要。虚拟机的使用进一步增加了复杂性，因为为单个虚拟机创建身份以及从创建到删除一直跟踪这个虚拟机，即使对于最成熟的虚拟化环境也是很困难的。当今基于将控 件部署到物理服务器上的遵从性方法，需要进行修改以符合虚拟环境。当云的物理和虚拟基础架构组件完全由外部服务提供商拥有和管理时，证实这些基础架构是可 信的将变得更为困难。因此，想要使用云的企业需要重新考虑他们的现有控制范围，因为很幸运，一些元素还保持相

20、同。很多技术控制范围还是相同的，流程（比如外包供应商管理）也还 类似。但是，云独特的方面需要安全策略上有些改变，包括用于 hypervisor 完整性监视的新控制范围，以及用于应用程序和数据治理的额外的与处理相关的控制范围。云提供者必须能够证明他们已经进行了测试，可以确保特权用户访问受到控制和监视。例如，ISO/IEC 27001 要求企业创建一个信息安全管理系统 (Information Security Management System，ISMS)。这让企业能够用一种基于风险的方法识别和满足所有遵从性需求，调整控件的选择和实现，提供重要的证据证明控件在有效地发挥作 用。声称已经采纳 IS

21、O 27001 标准的企业就可以利用该标准进行正式的审计和验证了。ISO 27001 在美国之外已经相当有名了，并得到了普遍接受，在美国也在慢慢被认可和接受。ISO 27001 需要这种管理：1. 系统地考量企业的信息安全风险，需要考虑到攻击、漏洞和影响。2. 设计和实现一套一致且完善的信息安全控件和/或其他形式的风险对策（比如风险规避或风险转移），以解除那些被认为是不可接受的风险。3. 采纳一种全面考虑的管理流程，确保信息安全控件持续满足企业的信息安全需求。另一个关键的法规是 Payment Card Industry (PCI) Data Security Standard (DSS)，这

22、是一套完善的用于增强支付账户数据安全性的要求，旨在防止敏感的持卡人信息被窃取。主要要求如下：1. 构建并维护一个安全网络。2. 保护持卡人数据。3. 维护一个漏洞管理程序。4. 实现强大的访问控制措施。5. 定期监视和测试网络。6. 维护一个信息安全策略。适当时，企业也应该向提供商要求一个承诺，以满足监管标准，比如 PCI DSS、美国的 Health Insurance Portability and Accountability Act (HIPAA) 和 EU Data Protection Directive。回页首保证云的安全：管理性访问和特权委托不能确保 “云” 的安全，就没有 “

23、云” 的存在。如果没有一个健壮的安全程序，云计算将会使情况变得更糟。 Christopher Hoff，Cloud Security Alliance 的创始成员兼技术顾问为企业应用程序管理身份和访问控制仍然是当今 IT 组织面临的最大难题之一。尽管企业可能能够在没有良好身份和访问管理策略的情况下利用一些云计算服务，但是最终，将企业的身份服务扩展到云中仍然是真正使用按需计算服务的一个必要先兆。BeyondTrust 软件BeyondTrust 软件为虚拟化和云计算环境提供特权授权管理、访问控制和安全解决方案，让 IT 治理能够增强安全性、提高生产力、驱动遵从性和减少支出。企业的产品目标是消除各

24、种 IT 系统中台式机和服务器上故意、偶然和间接的特权误用。BeyondTrust 客户涵盖金融、航空工程、国防和医药行业，以及学院社团。BeyondTrust PowerBroker 产品由一组完善的企业范围的解决方案组成，针对于各种 IT 环境中的服务器、台式机、数据库、应用程序和设备；这些产品允许企业将他们现有的安全基础架构、策略和遵从性报告扩展到私有、公共和混合的云中，并利用细 粒度的访问控制实现最贱实践，以严格实施最小特权原则和职责的分离。BeyondTrust PowerBroker 产品允许企业完全管理和审计对其云基础架构的特权用户访问。利用 PowerBroker 可以： 为所

25、有特权用户建立账户。 管理特权资格的设置和取消设置。 实现一个基于 “最小特权” 的控制系统。 监视并协调特权活动。 维护一个高质量的审计仓库。 自动化遵从性报告。通过将现有知情人安全基础架构扩展到云，企业可以减少采用云的很多障碍。使用 PowerBroker 管理云安全性允许系统工程师和管理团队继续使用他们知道如何操作和维护的工具。更重要的是，PowerBroker 是一个审计人员和执行规定人员都知道的经过证实的解决方案，使得云不需要额外的控件和审计流程。下面我将详细介绍我所提到的各种产品。用于云的 PowerBroker Server用于 Unix/Linux 服务器的 PowerBrok

26、er 支持特权的委托（无需提供根密码），并提供一种高度灵活的策略语言以提供细粒度的访问控制。PowerBroker Server 记录、监视和报告所有低到击键级别的管理操作，以满足大多数严格的安全性和遵从性要求。PowerBroker Server 灵活的部署能力包括对 30 种针对策略、日志和网络流量的加密方法的支持，允许企业将他们的特权访问云安全性部署到最满足自己的需要。PowerBroker Server 可以用以下三种方式进行部署： 为云服务器部署 PowerBroker 允许您将现有的基于数据中心的 PowerBroker 基础架构扩展到基于云的 Unix/Linux 服务器。敏感的

27、策略信息和事件日志还保留在数据中心。 完全基于云的 PowerBroker 实现以最小的固定成本，最大化了您伸缩云以满足不断变化的计算能力需求的灵活性， 云宿主的 PowerBroker 实现可以设计来保证分支机构和零售环境中分布式基础架构的安全性。在云中保留关键的 PowerBroker 组件以有限的 IT 支持资源，最小化了部署在远程位置的基础架构。针对云的 PowerBroker Identity Service集中的身份是云安全性和遵从性的基础。企业需要找到一些技术，以使得他们能够将访问权的实施从 on-premise 系统扩展到 SaaS 和云环境。这样，当前利用 on-premis

28、e 应用程序对受保护的客户信息或任何其他敏感信息不具有访问权的用户就不会无意中具有您的云系统的访问权。这不仅很重要，而且具有跨这些系统正确管理的身份 意味着企业受审计时验证谁对什么数据具有访问权就比较简单。 Irida Xheneti，Security Week PowerBroker 为云中的集中化身份管理提供两种选择来满足重要的需求，即 PowerBroker Servers 的策略语言中的本机 LDAP 支持或者 PowerBroker Identity Services，后者用于 Linux 和 Unix 服务器，是一种通过 Active Directory 进行集中化用户管理、身份验

29、证和授权的完整解决方案。利用 PowerBroker Identity Services，企业可以安全地将现有的 on-premise Active Directory 部署扩展到云，以将用户验证到基于云的 Linux 服务器，监视并报告注册活动，并定义和实现组策略以控制您的云服务器配置。用于云的 PowerBroker DatabasePowerBroker Database Monitor and Audit 可以部署来监视基于云的数据库，提供数据库扫描和监视所需的会议安全最佳实践和遵从性要求。PowerBroker Database Monitor and Audit 提供日常查看数据库

30、资格和访问控制时所需的详细日志功能。将 PowerBroker Database Monitor and Audit 与 PowerBroker Server 和 Identity Service 联系在一起，这允许特权活动与更改管理和服务台票务系统进行闭环协调，从而对部署在云中的关键数据库提供与数据中心相同的控制。图 2. 特权活动的闭环协调简单地配置到单独的安全区域，PowerBroker 允许企业向共享相同物理或虚拟基础架构的应用程序应用适当级别的安全性。回页首综述：一个案例研究最后，我提供了一些关于本文中讨论的概念的实际部署的详细信息。世界上最大的一家金融服务公司，有一个集中化的 IT

31、 组织利用内部交叉计费 (cross-charge) 为它的业务单位提供 IT 服务，面临着日益增长的计算能力需求，所以公司决定， IT 组织以成本高效方式满足业务单位需求的最高效的方式是部署一个基于 Linux 的私有云基础架构，它能扩展到超过 100,000 个虚拟服务器来满足高峰需求。在迁移到私有云基础架构之前，业务单位有一个关键的问题需要解决：他们想要确保自己的机密数据保持安全，并且围绕遵从性的任何需求在私有云基础架构中能够 得到满足。由于将采用虚拟化并关注遵从性，所以 IT 组织将难以按业务单位分隔基础架构却同时仍然保证授权级别符合遵从性要求。IT 团队做出了当前和未来需求的一个全面

32、视图，来保证他们正在增长的云环境的安全： 供应商提供的一个全面解决方案。 一个可伸缩的企业级组织。 与 on-premise 及云目录的无缝集成。 允许管理员管理策略而不是基础架构。 对虚拟环境中的更改动态地做出反应。 提供云服务器性能情况的可度量单位。为了满足业务单位的安全性和遵从性需求，公司部署了 BeyondTrust PowerBroker UNIX and Linux Servers，以便从主机操作系统到客户机操作系统提供统一的保护。由于为私有云基础架构使用 PowerBroker，现在对于客户机 OS 及 XEN hypervisor，特权委托都受到了集中化的控制。该解决方案允许

33、IT 组织在公司范围的基础架构中集中监视和控制管理性访问和特权委托。IT 组织和各个业务单位也能够生成遵从性报告，内容包含日志和审计，甚至详细到击键操作，以及他们的关键 SOX、PCI 和 FFIEC 遵从性需求的独特下钻验证的事件数据。实现从将 PowerBroker 手动部署到云中启动的所有操作系统开始。随着规模的增长，PowerBroker 被添加到标准 OS 镜像，所以它将会被自动部署。利用 BeyondTrust，IT 团队可以简化并标准化他们用来简化管理的策略，并充当高级开发伙伴，实现更高级自动化和健康监视的开发和部署。本文中，我讨论了驱动数据中心迁移到云的需求，详细介绍了虚拟化在

34、公共和私有云基础架构中的作用，并简要说明了云计算的安全性和遵从性含义，以便您了解如 何使用 “管理性访问” 和 “特权委托” 控制方法保护云中敏感数据，并提供了一个实际的例子，即一个现有的、正在工作的、可以执行这些任务的系统。参考资料 学习 更多地了解本文中提到的遵从性标准：PCI DSS 和 ISO/IEC 27001。 在 Cloud Security Alliance 2010 年 3 月的论文 “Top Threats to Cloud Computing v1.0” 中，了解更多关于云计算最常见安全攻击的详细信息。 在 Ponemon Institute 2011 年 4 月的调查

35、“Security of Cloud Computing Providers” 中，发现云供应商的更多安全趋势。 在 developerWorks 云开发者资源 中，发现和共享应用程序及服务开发人员为云部署构建项目的知识和经验。 查看对 IBM SmartCloud Enterprise 可用的 产品镜像。 BeyondTrust 软件为虚拟化和云计算环境提供特权授权管理、访问控制和安全性解决方案，允许 IT 组织加强安全性、提高生产力、促进遵从性和减少支出。公司的产品目标是消除各种 IT 系统中台式机和服务器上故意、偶然和间接误用特权的风险。 了解如何 访问 IBM SmartCloud E

36、nterprise。 加入云计算讨论组，了解和讨论云计算的最新技术、解决方案、趋势等内容。 讨论 阅读 developerWorks 上所有 优秀的云博客。 加入 developerWorks 中文社区。查看开发人员推动的博客、论坛、组和维基，并与其他 developerWorks 用户交流。关于作者Jim Zierick 在运营和销售方面给 BeyondTrust 公司带来了超过 25 年的建立技术公司的企业经验。他负责把握公司的全球计划，以促进产品增长和占据 Privilege Identity Management 市场以及相关市场的技术思想先导地位。Jim 为整个 BeyondTrus

37、t 产品系列改善了开发方法、流程和管理。为本文评分平均分 (2个评分)窗体顶端1 星1 星2 星2 星3 星3 星4 星4 星5 星5 星窗体底端Elevate cloud security with privilege delegationJim Zierick, Executive Vice President, BeyondTrust SoftwareSummary: In this article, the author discusses the needs that drive migration of data centers into the cloud, details th

38、e role of virtualization in both public and private cloud infrastructures, and outlines the security and compliance implications of cloud computing in order to provide insight into the protection of sensitive data in the cloud through administrative access and privileged delegation.摘要：在这篇文章中，作者讨论了数据

39、中心驱动器迁移到云的需求，详细介绍虚拟化在公共和私有云基础设施的作用，并概述了云计算的安全和合规，及通过“行政准入”和“特权委托”保护提供洞察的云敏感数据。Date: 14 Dec 2011 Level: Introductory PDF: A4 and Letter (265 KB | 14 pages)Get Adobe Reader Also available in: Chinese Japanese Portuguese Activity: 50595 views Comments: 0(View|Add comment - Sign in) Average rating (4 vo

40、tes)Rate this articleVirtual machines make it possible to separate hardware acquisition and deployment from software deployment, and can improve delivery within an enterprise to 10, 20, or even 30 times faster. Thomas J. Bittman, VP, Distinguished Analyst, GartnerIn todays economic environment, orga

41、nizations are focused on reducing costs and doing more with less while still trying to remain competitive. This means that IT departments are facing greater scrutiny to ensure that they match key business needs and deliver intended results in the most efficient and cost-effective manner. To meet the

42、se challenges, IT organizations are increasingly moving away from device-centric views of IT, to one that is focused more on the defining characteristics of cloud computing on applications, information, and people. As an emerging trend that provides rapid access to dynamically scalable and virtualiz

43、ed IT resources, cloud computing promises new and exciting opportunities for organizations to create lean, robust, cost-effective IT infrastructures that better align with business goals. However, certain tradeoffs concerning control, compliance, and security must be addressed before fully realizing

44、 those benefits. This article describes the elements driving data centers migration to the cloud, including the role of virtualization in public cloud infrastructures, and outlines the security and compliance implications of cloud computing to provide insight into the protection of sensitive data in

45、 the cloud through two key methods: Administrative access and privileged delegation. Why journey into the cloud?Why would organizations want to move their data center to the cloud? Its simple: The flexibility provided by virtualized servers and the economies of scale of larger private or public clou

46、ds create a better economic model for todays computing needs. Virtualization provides the starting point for the better model: Higher utilization of server and storage hardware when workload varies: Add the economies of scale and even higher utilization when resources are shared across business unit

47、s in a public cloud or across companies in a public cloud and you have a lower cost model. Add the flexibility to pay for resources only as used rather than incurring large fixed costs and large chunks of capital expenditures and IT can better match the business requirements in many industries.Howev

48、er, beyond the simple economics, the cloud model provides significant operational benefits. Virtualization again provides the starting point for a better operation model by reducing the time to provision needed applications and workloads. The cloud model builds on these capabilities by abstracting the end user from the complexity of both the physical in