大數(shù)據(jù)時(shí)代，信息是非常寶貴的財(cái)富。通過(guò)信息的采集與分析，企業(yè)可以研發(fā)出用戶需要的產(chǎn)品、服務(wù)，這樣能夠保證企業(yè)能夠一直向上發(fā)展。所以，對(duì)于儲(chǔ)物這些數(shù)據(jù)的服務(wù)器，它對(duì)數(shù)據(jù)的安全性我們需要格外關(guān)注。畢竟誰(shuí)也不想遭遇數(shù)據(jù)丟失或者是被惡意盜取的情況，那么，使用云主機(jī)等服務(wù)器的時(shí)候，如何給數(shù)據(jù)安全加把鎖呢?

1、數(shù)據(jù)加密保護(hù)

在各類安全技術(shù)中，加密技術(shù)是最常見也是最基礎(chǔ)的安全防護(hù)手段，在云環(huán)境下，數(shù)據(jù)的加密保護(hù)仍然是數(shù)據(jù)保護(hù)的最后一道防線，對(duì)數(shù)據(jù)的加密存在于數(shù)據(jù)的傳輸過(guò)程中和存儲(chǔ)過(guò)程中。

對(duì)數(shù)據(jù)傳輸過(guò)程中的加密保護(hù)能保護(hù)數(shù)據(jù)的完整性、機(jī)密性和可用性，防止數(shù)據(jù)被非法截獲、篡改和丟失。針對(duì)不同虛擬化對(duì)象的特點(diǎn)，應(yīng)采用不同的傳輸加密方式。如對(duì)IP SAN網(wǎng)絡(luò)，可以采用IPSec Encryption(IPSec加密)或SSL加密功能防止數(shù)據(jù)被竊聽，確保信息的保密性，采用IPSec摘要和防回復(fù)的功能防止信息被篡改，保證信息的完整性。

對(duì)數(shù)據(jù)存儲(chǔ)的加密能實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性，完整性和可用性，還能防止數(shù)據(jù)所在存儲(chǔ)介質(zhì)意外丟失或者不可控的情況下數(shù)據(jù)自身的安全。對(duì)數(shù)據(jù)存儲(chǔ)的保護(hù)一般在主機(jī)端完成，通常由應(yīng)用系統(tǒng)先對(duì)數(shù)據(jù)進(jìn)行加密，然后再傳輸?shù)酱鎯?chǔ)網(wǎng)絡(luò)中，由于不同應(yīng)用采用加密算法的多樣性導(dǎo)致加密強(qiáng)度的不一致，不利于數(shù)據(jù)存儲(chǔ)安全的統(tǒng)一防護(hù)。為了解決這個(gè)問(wèn)題，IEEE安全數(shù)據(jù)存儲(chǔ)協(xié)會(huì)提出了P1619安全標(biāo)準(zhǔn)體系，這個(gè)體系制定了對(duì)存儲(chǔ)介質(zhì)上的數(shù)據(jù)進(jìn)行加密的通用標(biāo)準(zhǔn)，采用這種標(biāo)準(zhǔn)格式可使得各廠家生產(chǎn)的存儲(chǔ)設(shè)備具有很好的兼容性。

對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)保護(hù)的另一種思路是在存儲(chǔ)設(shè)備之前串接一個(gè)硬件加密裝置，對(duì)所有流入存儲(chǔ)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行加密后，將密文提交給存儲(chǔ)設(shè)備;對(duì)所有流出存儲(chǔ)設(shè)備的數(shù)據(jù)進(jìn)行解密后將明文提交給服務(wù)器;這種加密方式與上面提到的采用P1619的的解決方案類似，但這里的加密是由外部加密裝置完成，而不是集成在存儲(chǔ)網(wǎng)絡(luò)中。這種解決思路與上層應(yīng)用和存儲(chǔ)無(wú)關(guān)，但在數(shù)據(jù)量大的情況下，對(duì)硬件加密裝置的加解密性能和處理能力要求比較高。

對(duì)數(shù)據(jù)加密保護(hù)的第三種解決辦法是依靠存儲(chǔ)設(shè)備自身的加密功能，如基于磁帶機(jī)的數(shù)據(jù)加密技術(shù)，通過(guò)在磁帶機(jī)上對(duì)數(shù)據(jù)進(jìn)行加密，使數(shù)據(jù)得到保護(hù);目前可信計(jì)算機(jī)組織(TCG，Trusted Computing Group)也已提出了針對(duì)硬盤的自加密標(biāo)準(zhǔn)，將加密單元放置在硬盤中，對(duì)數(shù)據(jù)進(jìn)行保護(hù)。自加密硬盤提供用戶認(rèn)證密鑰，由認(rèn)證密鑰保護(hù)加密密鑰，通過(guò)加密密鑰保護(hù)硬盤數(shù)據(jù)。認(rèn)證密鑰是用戶訪問(wèn)硬盤的惟一憑證，只有通過(guò)認(rèn)證后才能解鎖硬盤并解密加密密鑰，最終訪問(wèn)硬盤數(shù)據(jù)。

2、基于存儲(chǔ)的分布式入侵檢測(cè)系統(tǒng)

基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)嵌入在存儲(chǔ)系統(tǒng)中，如SAN的光纖交換機(jī)、磁盤陣列控制器或HBA卡等設(shè)備中，能對(duì)存儲(chǔ)設(shè)備的所有讀寫操作進(jìn)行抓取、統(tǒng)計(jì)和分析，對(duì)可疑行為進(jìn)行報(bào)警。由于基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)是運(yùn)行在存儲(chǔ)系統(tǒng)之上，擁有獨(dú)立的硬件和獨(dú)立的操作系統(tǒng)，與主機(jī)獨(dú)立，能夠在主機(jī)被入侵后繼續(xù)對(duì)存儲(chǔ)介質(zhì)上的信息提供保護(hù)。在存儲(chǔ)虛擬化網(wǎng)絡(luò)中，應(yīng)在系統(tǒng)的關(guān)鍵路徑上部署基于存儲(chǔ)的入侵檢測(cè)系統(tǒng)，建立全網(wǎng)統(tǒng)一的管理中心，統(tǒng)一管理入侵檢測(cè)策略，實(shí)現(xiàn)特征庫(kù)的實(shí)時(shí)更新和報(bào)警事件及時(shí)響應(yīng)。

3、資源隔離和訪問(wèn)控制

在云環(huán)境下，應(yīng)用不需要關(guān)心數(shù)據(jù)實(shí)際存儲(chǔ)的位置，只需要將數(shù)據(jù)提交給虛擬卷或虛擬磁盤，由虛擬化管理軟件將數(shù)據(jù)分配在不同的物理介質(zhì)。這就可能導(dǎo)致不同保密要求的資源存在于同一個(gè)物理存儲(chǔ)介質(zhì)上，安全保密需求低的應(yīng)用/主機(jī)有可能越權(quán)訪問(wèn)敏感資源或者高安全保密應(yīng)用/主機(jī)的信息，為了避免這種情況的發(fā)生，虛擬化管理軟件應(yīng)采用多種訪問(wèn)控制管理手段對(duì)存儲(chǔ)資源進(jìn)行隔離和訪問(wèn)控制，保證只有授權(quán)的主機(jī)/應(yīng)用能訪問(wèn)授權(quán)的資源，未經(jīng)授權(quán)的主機(jī)/應(yīng)用不能訪問(wèn)，甚至不能看到其他存儲(chǔ)資源的存在。

4、數(shù)據(jù)刪除或銷毀

數(shù)據(jù)的徹底刪除也是必須考慮的問(wèn)題。由于數(shù)據(jù)存放的物理位置是位于多個(gè)異構(gòu)存儲(chǔ)系統(tǒng)之上，對(duì)于應(yīng)用而言，并不了解數(shù)據(jù)的具體存放位置，而普通的文件刪除操作并不是真正刪除文件，只是刪掉了索引文件的入口。因此在應(yīng)用存儲(chǔ)虛擬化技術(shù)之后，應(yīng)在虛擬化管理軟件將安全保密需求相同的文件在物理存儲(chǔ)上分配在同一塊或多塊磁盤上，在刪除文件時(shí)，為了徹底清除這些磁盤上的敏感信息，將該磁盤或多塊磁盤的文件所有位同時(shí)進(jìn)行物理寫覆蓋。對(duì)于安全保密需求高的場(chǎng)合，還應(yīng)采用消磁的方式來(lái)進(jìn)行更進(jìn)一步地銷毀。

企業(yè)如果沒(méi)有一套安全保障措施，建議可以與你的云服務(wù)商咨詢，有部分云服務(wù)商可以提供類似服務(wù)。