2011年1月7日消息，雖然大家對云安全都有些初步了解，但是通過一些具體實(shí)例或許才能更深入了解云安全。下面就為大家例舉四個大多數(shù)用戶都擔(dān)憂的問題并告訴大家這些問題是如何被解決的。

云模式：SaaS

安全顧慮：單點(diǎn)登錄

　　當(dāng)Lincoln Cannon10個月前被一個擁有1500名員工的醫(yī)療器械公司聘用為網(wǎng)絡(luò)系統(tǒng)主管，他希望幫助銷售部門轉(zhuǎn)換到谷歌應(yīng)用和基于SaaS的訓(xùn)練應(yīng)用eLeap，從而降低開發(fā)成本并提高生產(chǎn)力。

　　不過，需要解決一些顧慮。營銷人員不希望用戶有多次登錄，而IT部門則希望通過保留對訪問的控制權(quán)，特別是在增加新員工和員工離職要終止其賬戶的時候。

　　Cannon選用了Symplified的單點(diǎn)登錄，因?yàn)樗梢耘cActive Directory進(jìn)行聯(lián)系并驗(yàn)證那些試圖登錄云應(yīng)用用戶的證書。谷歌應(yīng)用使用API將用戶鑒別卸載給單點(diǎn)登錄的供應(yīng)商。但是如果使用eLeap，系統(tǒng)則還需要使用身份驗(yàn)證適配器。

　　Cannon認(rèn)為它就像是一個保全。因?yàn)橐氆@取eLeap訓(xùn)練案例或是Google應(yīng)用，都需要通過單點(diǎn)登錄供應(yīng)商的驗(yàn)證。而且它還與Active Directory同步。我們通過Symplified 進(jìn)行對被授權(quán)訪問這些SaaS應(yīng)用的帳戶進(jìn)行定義，而要關(guān)閉一些AD帳戶時，它會適時對關(guān)閉的帳戶進(jìn)行阻止，以防這些帳戶訪問SaaS應(yīng)用。

　　Symplified系統(tǒng)可以在SaaS模式中操作，但是該器械公司選擇在其防火墻后部署一個由Symplified 托管的路由。之所以這樣做是因?yàn)镮T部門不想在云上管理用戶帳戶和密碼。所有這些有關(guān)帳戶和密碼的操作都在防火墻后端進(jìn)行。

云模式：IaaS

安全顧慮：數(shù)據(jù)加密

　　紐約的Flushing銀行，CIO Allen Brewer想改成用云進(jìn)行數(shù)據(jù)備份。選用Zecurion的Zerver后，F(xiàn)lushing銀行現(xiàn)在要將文件通過互聯(lián)網(wǎng)上進(jìn)行備份。而該銀行首先要考慮的問題就是數(shù)據(jù)加密以及找到一個能適應(yīng)銀行已有加密法則的服務(wù)供應(yīng)商。Brewer表示，有些公司以來供應(yīng)商提供加密，而他們則依靠自己。所銀行發(fā)送和保存的數(shù)據(jù)都在供應(yīng)商處被加密。

　　某些基于云的備份存儲供應(yīng)商將裝置安裝在客戶端以適應(yīng)加密，但是Flushing則對這樣的安裝不感興趣。Brewer之所以選擇Zecurion是因?yàn)樗来鎯π畔⒌臄?shù)據(jù)中心的位置。他表示，自己知道該公司三個數(shù)據(jù)中心之所在，而并非將數(shù)據(jù)發(fā)送到云然后對數(shù)據(jù)位置一無所知。

云模式：實(shí)地云

安全顧慮：虛擬化

　　當(dāng)SnagAJob.com的IT運(yùn)營總監(jiān)Matt Reidy著手進(jìn)行公司為期三年的技術(shù)更新是，他的目標(biāo)是將公司現(xiàn)有的75%的虛擬環(huán)境提升到100%虛擬的，私有的安全云計算，并在其核心部分使用運(yùn)行VMware和vSphere的戴爾刀片服務(wù)器。

　　Reidy認(rèn)為，RnagAJob作為一個增長迅速具有發(fā)展?jié)摿Φ木W(wǎng)站需要以云模式獲得運(yùn)營的靈活性。在技術(shù)更新以前，SnagAJob擁有一個多層架構(gòu)，該架構(gòu)的防火墻為Web，應(yīng)用和數(shù)據(jù)層進(jìn)行物理隔離。Reidy以前可以移除物理防火墻，然后從Altor網(wǎng)絡(luò)公司那里部署一個虛擬防火墻來實(shí)現(xiàn)百分比的虛擬化。而物理防火墻今后將只存在于防入侵檢測和防御裝置之外的周邊產(chǎn)品中。

　　Reidy還解釋稱，在vShpere 版本四出來前，用戶可以將防火墻裝置作為虛擬機(jī)運(yùn)行，但是其性能受到很大局限，因?yàn)榫W(wǎng)絡(luò)流量必須通過這些虛擬機(jī)。而現(xiàn)在，vSphere具備一個名為VMsafe的API，可以讓Altor,Checkpoint等防火墻供應(yīng)商把流量檢測轉(zhuǎn)移到VMware核中。

　　Reidy認(rèn)為新版本改善了產(chǎn)品的性能，穩(wěn)定性和安全性。有了Altor虛擬防火墻，他的團(tuán)隊現(xiàn)在還能觀察流量在虛擬機(jī)之間的傳輸，包括協(xié)議和數(shù)據(jù)大小。在虛擬云領(lǐng)域這是一項挑戰(zhàn)，因?yàn)閭鹘y(tǒng)的產(chǎn)品是做不到這一點(diǎn)的。而現(xiàn)在，我們可以獲得更多安全性，因?yàn)槲覀兛梢钥吹綌?shù)據(jù)的傳輸并在此觀察的基礎(chǔ)上編寫規(guī)則。其他還具有這種可視性功能的產(chǎn)品還包括思科的NetFlow和瞻博網(wǎng)絡(luò)的J-Flow，以及一個名為sFlow的開放型系統(tǒng)標(biāo)準(zhǔn)。

云模式：PaaS

安全顧慮：虛擬化，業(yè)務(wù)持續(xù)性，審核

　　在新開的公司里，Kavis選擇讓Amazon托管公司的整個架構(gòu)。在此之前，他與要部署虛擬機(jī)的安全專家進(jìn)行了商談以明確自己的需求。然后Kavis創(chuàng)建了一個應(yīng)用那些控件的虛擬圖片，并創(chuàng)建了一個抽印程序以便可以隨時復(fù)制并依據(jù)需要安裝一個新的虛擬機(jī)。

　　Kevis說：“Amazon提供了虛擬圖像軟件，但是其安全性卻不夠。” “如果使用PaaS，那就只有這個問題需要處理，不過如果是使用IaaS，我就可以將安全性能設(shè)置到我希望的級別，而且操作上還會更具靈活性。”

　　Kavis還需要執(zhí)行系統(tǒng)管理員應(yīng)該執(zhí)行的所有函數(shù)，如打開和關(guān)閉端口，編寫配置，鎖定數(shù)據(jù)庫。而他使用Amazon提供的LAMP堆棧。Kavis非常滿意于Amazon提供的周邊安全，并認(rèn)為其產(chǎn)品達(dá)到了很多公司做不到的級別。

　　為了保障業(yè)務(wù)持續(xù)性，Kavis將所有的數(shù)據(jù)都復(fù)制到兩個以上的額外環(huán)境中。除非Amazon多個地域的環(huán)境全部癱瘓，Kavis公司的業(yè)務(wù)才會癱瘓。不過Amazon每個指定域都擁有較高的可靠性，因此所有業(yè)務(wù)在同一時間全部癱瘓的可能性微乎其微。

　　Kavis還要解決的另一個問題是審核。由于規(guī)則還不能反映出云計算，所以規(guī)則會將訪問送入物理盒內(nèi)，而用戶不能在公共云中進(jìn)行此操作。對于符合規(guī)則的數(shù)據(jù)，Kavis計劃使用一個虛擬專有云。這樣供應(yīng)商就會說：“你的服務(wù)器被鎖定，如果你需要審核，可以將帶審計員來檢查。我們將以此來完成審計，但是所有的操作都將在公共云上進(jìn)行。”即便用戶需要就地收錄特定類型的數(shù)據(jù)，從規(guī)模和成本角度出發(fā)，也需要將進(jìn)程卸載到公共云。