原文链接http://blogs.technet.com/b/privatecloud/archive/2012/01/20/introducing-of-a-solution-for-private-cloud-security.aspx

正如我在其他博客文章中提到过的,私有云提供了一个“重置”数据中心的机会。在考察今天的企业网络时您会发现,它真的按照您期望的方式成长么?它的管理和运营是按您设计的理想方式执行的么?或者,它是否像今天的许多网络一样,患上了“它就是不知不觉地长成这样了”综合症?如果您和多数管理员一样,就知道如果有机会从头来过,您的做法肯定会有很大不同。

私有云就给了您这样一个机会。利用私有云,您获得一个新的机会,可以重新设计自己物理、平台和应用程序基础设施的架构,采用一种可以向组织提供电话服务的方式来设计。重新设计架构的数据中心会包含您所需要的全部关键功能。管理、监控、报告、规模调整、故障排除、部署和收费,所有一切都紧密地集成在一起,而且全部自动进行。而其中最重要的,就是会将安全性集成到新的服务交付基础设施的方方面面。

私有云的安全性漏洞

在私有云的安全性方面,我们遇到一个问题。过去,如果在网络上搜索“私有云安全性”,基本上看不到太多有用的信息。当然,确实有很多关于私有云安全性的短文和博客,也有许多厂商的产品解决了某一部分的私有云安全性问题,但对于私有云来说,在安全性方面缺乏一个全面或权威的目标。而且根本没有什么是专门针对私有云的安全性架构的。这是一个巨大的漏洞,因为如果在私有云的安全性架构方面没有全面的指南,怎么可能设计出真正安全的私有云部署呢?您肯定会局限于目前数据中心采用的安全方法——“事后诸葛亮”的方法,这种方法只会让您遭遇到与目前情况一样的安全性困局。

我的团队认为这是一个严重的问题,因为很少有组织(或者至少是那些在安全性和数据/应用程序治理方面投资的组织)会在私有云的安全性方面缺乏透彻、周全方法的情况下,就会冒然采用私有云。我看过许多评论人挖苦说:私有云的安全性并不比数据中心的安全性好多少,只不过增加了对虚拟化安全性问题的考虑而已。虽然我们承认私有云的安全性与传统数据中心的安全性在概念、原则和模式上有许多共同之处,但有些问题是私有云环境中所特有的,并且有些地方的重点或方法与传统数据中心有着很大的差别。

私有云安全性的解决方案

关于创建“一个私有云安全性解决方案”,我们经过了认真的思考并且有足够的动机。请注意标题是“一个解决方案”而不是“解决方案”。这样的措辞是有考虑的,因为我们不想让人以为这份文档是私有云安全性的唯一解决方案——它不过是众多可能解决方案中的一个,而且这是我们提出的一个解决方案。一个私有云安全性解决方案是我们的私有云参考架构的一个组成部分,后者是一整套全面的私有云架构文档。因此,一个私有云安全性解决方案采用了一种架构方法来解决私有云的安全性问题。

一个私有云安全性解决方案包含以下核心文档:

每份文档都可以线阅读,也可以下载整套文档。

使用 TechNet Wiki 和 Gallery 交付权威指南

您可能注意到,私有云安全性解决方案文档放在 TechNet wiki 上。之所以放在这里,我们有几个原因:

  • TechNet wiki 是一个低开销、低冲突、敏捷的平台,允许我们在尽可能短的时间内发布您所需要的重大内容。
  • TechNet wiki 允许我们与私有云架构社区协作开发各种想法上很领先的内容——虽然 Microsoft 内部有很多伟大的想法,但在 Microsoft 外部有更多伟大的思想家,我们希望与他们协作,创建您所需要的想法领先内容,让您可以充满信心地用安全的方式部署私有云。
  • TechNet Gallery 允许我们提交 Microsoft Word .doc 文档以及 PDF 文件,以方便脱机使用这些内容。
  • 在 wiki 和 Gallery 上进行内容版本管理又快又方便。

当然,世上没有完美的解决方案,我们也有一些问题需要解决。关键的问题和解决方案包括:

  • 管理大量内容集合——全部文档在哪里?因为“一个私有云解决方案”文档集合包含许多页面,所以我们需要一种可以跟踪所有内容的途径。我们创建了一个内容地图来解决这个问题,内容地图中包含每个页面的链接。另外还有一个电子表格,里面以结构化的方式包含了所有页面的名称和链接。
  • 内容的版本管理。因为内容包含在 wiki 上,所以我们和社区会持续更新内容。许多人想知道“正式”版在哪里。当内容标签为“beta”时,并没有正式版可用。但是到 2012 年 2 月底,我们会把更新的内容“标记”为“第 1 版”,会有一个图形显示“单击此处查看这个文档的正式第 1 版”。日后会有“第 2 版”,图形也会更新,会为第 2 版创建新的链接。这个过程会作为一个迭代的过程持续进行。
  • 对这份文档可能会有恶意编辑行为——如何监控这种行为?wiki 页面都做了配置,只要发生更新,就会向我们的团队发送电子邮件消息。幸运的是,在 TechNet wiki 上几乎还未发生过恶意编辑的行为。
  • 页面翻译(本地化)。wiki 上的每个页面都包含一个翻译部件。第一语言不是英语的读者可以迅速访问机器翻译内容。有充分的报告显示,在人工翻译不是由主题专家完成的情况下,机器翻译与人工翻译内容一样有效。另外,有意参与的人士可随意翻译这些页面,并将译文发布到 TechNet wiki 上。

我们相信,TechNet wiki 最终会成为 Microsoft 及时发布可操作性强、想法领先的相关指南的首选和标准位置。私有云参考架构一个私有云安全性解决方案是我们的初步尝试,并且我们的方法会不断改进。

呼唤社区参与

TechNet wiki 的关键驱动因素之一,就是让整个私有云安全性社区可以共同协作,扩展并改进“一个私有云解决方案”的内容。有许多方式可以参与进来共同改进这份信息,让它符合第 1 版的质量门槛:

  • 联机编辑 wiki 的内容——我会收到您编辑内容的通知,并审核您编辑的内容。
  • 对联机内容发表评论——我会收到您发表评论的通知,并加入您建议的修改。
  • 下载 Microsoft Word .doc 文件,编辑内容,然后将编辑好的 doc 发到我的邮箱 tomsh@microsoft.com
  • 下载 Microsoft Word .doc 文件,在 .doc 中添加评论,然后将文件发到我的邮箱 tomsh@microsoft.com
  • 直接将您的想法和建议发到我的邮箱 tomsh@icrosoft.com,我会将它们加入联机和脱机内容。

我们非常期待并感谢您的参与,只有社区的贡献,才能让这个内容的水平越来越高,只有不同的社区,才能向其增加来自现实世界的真知灼见。

如何使用“一个私有云安全性解决方案”文档

使用“一个私有云安全性解决方案”文档有两个主要的方式:

联机文档集合中包含了许多为了更加方便地使用内容而设计的“工件”。

内容地图

您可以使用内容地图来“鸟瞰”所有内容——内容地图在文档集合的第一页上,看起来与下图类似。

目前您点击内容地图上的内容还无法到达想看的页面。但是,可以下载 Visio 格式的内容地图,在Visio 文件中单击页面就可打开要看的页面。

导航链接

在每个页面底部是协助在联机内容中进行导航的链接,例如下图中出现的这些链接:

所有页面都包含这些导航辅助,每个页面都包含:

到私有云解决方案中心的链接

我们的私有云架构小组提供了许多参与途径,包括 twitter、Facebook、LinkedIn、TechNet
论坛、TechNet 博客等。但私有云架构指南以及最终解决方案的中心点是私有云解决方案中心。这套文档集合中的每个页面都包含一个图形,单击该图形就可以到达私有云解决方案中心,如下图所示:

结束语

架构文档中的“一个私有云安全性解决方案”集合提供了从头开始将安全性构建到私有云设计中的架构基础。这里有三个文档——服务蓝图、服务设计和服务运营。文档的内容目前仍处在 beta 阶段,我们欢迎并鼓励私有云社区的全部成员(包括 Microsoft 内部的和Microsoft 外的)都来帮助我们改进这个内容。这个内容在 TechNet wiki 上以联机格式提供,这样可以方便快速地展开协作,也以 Word .doc 格式提供,以便脱机阅读。最后,联机内容中还包含许多导航元素,以便导航内容,让您能全面了解整个文档集合。

我希望您喜欢“一个私有云安全性解决方案”,并期待着您的反馈和参与!

诚挚谢意!

Tom

Tom Shinder

tomsh@microsoft.com

首席知识工程师,SCD iX 解决方案小组

请在 Twitter 上关注我: http://twitter.com/tshinder

Facebook: http://www.facebook.com/tshinder


China TechNet 译