全世界的组织将 60% 的数据存储在云中。云计算的普及在 2023 年是无可争议的，预计未来几年还会增长。使用云存储和计算服务来运行企业虚拟机 (VM) 的主要好处包括数据可用性和此类基础设施的成本效益。

然而，将云计算作为您组织的主要数据存储也有缺点。这里主要关注的是数据和云虚拟机的安全性；云基础设施的性质使得提供适当级别的数据保护具有挑战性。在这篇文章中，我们重点分析和解释：

• 在实现可靠的云数据保护的过程中会遇到哪些挑战

• 如何保护您的云虚拟机

虚拟云计算：主要安全挑战

在云计算中使用虚拟机需要采取适当的措施来提高安全性。在继续解释特定建议之前，让我们回顾一下运行云基础架构的组织可能面临的主要问题：

• 数据丢失

• 分布式拒绝服务 (DDoS) 攻击

• 数据泄露

• 访问控制困难

• 警报和通知

如何保护云虚拟机：五个虚拟化安全提示

与任何 IT 保护系统一样，关于云 VM 安全性的最关键建议是基本的。忽视这些简单的准则会增加安全故障、凭证泄露以及不良行为者进一步不当使用数据或系统的风险。查看这五个关于提高基础设施中云虚拟机安全效率的提示。

1.安全和独立的连接

虚拟网络的使用使您能够保持连接到基础设施不同节点的灵活性。这意味着虚拟网络会被频繁修改，并且有可能在机器、服务或数据存储库之间建立不需要的连接。这可能会导致通过 VM 的计划外数据循环和泄漏威胁，直到最后一刻都可能隐藏起来。

为避免最坏的情况，请仔细检查您的虚拟网络并确保它们安全且独立。对网络路由进行定期修订，并检查与 VM 建立新连接前后的变化。

2. 使用独立的管理 API

将基础架构管理与服务本身隔离开来是加强虚拟机安全性的另一个重要步骤。管理 API 用于设置和规范功能、服务行为和特性，这意味着每个此类 API 都会带来许多风险。

所有管理 API 都必须受到保护，但您应该特别注意基础设施的控制部分。确保只有授权和合格的员工才能访问此类 API。

3. 验证虚拟机组件

在为虚拟机实现新特性、组件和功能之前，您应该检查这些元素是否与安全要求相关，包括内部策略和合规性要求。外部威胁是安全措施旨在应对的典型案例，但内部攻击经常被忽视，而当它们发生时具有破坏性。

一旦你安装了一个应用程序，在虚拟机上配置了一个特性或功能，任何元素都可能有一个在发布时未被注意到的安全漏洞。当您添加一个未经验证的组件时，整个虚拟机将成为基础设施安全中的一个薄弱环节，为环境中的其他元素提供攻击机会。为具有明确审计点的 VM 开发高级验证和生命周期管理模板。然后在每次对机器进行更改时使用该模板。

4. 隔离托管元素

云虚拟机安全的另一个关键点是隔离您托管的每个新元素。例如，如果您在云中拥有可供网络用户以任何方式访问的服务或功能，则任何功能或服务都可能成为网络攻击目标。

将您的托管和功能连接隔离在私有子网内是一种解决方案。这是提高云 VM 及其应用程序弹性的方法。

5. 定期备份云虚拟机

无论您的安全措施多么先进和彻底，想要突破它们的黑客都领先一步，并且可以想出足够复杂的恶意软件来绕过这种保护。使用设置和数据保护 VM 的唯一可靠方法是定期正确地备份这些工作负载。

现代 VM 备份解决方案可以帮助您自动将云 VM 备份到不同的目的地。然后可以将这些 VM 恢复到其原始或自定义位置，停机时间最短。考虑将这些一体式数据保护解决方案之一集成到您组织的基础架构中，以确保数据可用性和业务连续性。

防止虚拟化安全问题的其他建议

以上五点对于维护云虚拟机的安全至关重要。但是，应用其他常见的安全实践可以进一步增强组织中的数据保护。您可以在下面查看适用于任何基础架构（包括虚拟化环境）的另外三个安全提示。

可靠的密码

无论您的数据保护措施多么严肃和先进，提供对您的 VM、云服务帐户、控制面板和仪表板的访问权限的密码都必须是强大的。否则，就像您在不锁前门的情况下在厚墙和装甲窗上投入大量资金一样。

一个强密码至少包括八个符号：大小写字母、数字和特殊字符。可靠密码的另一个重要特征是它应该是无意义的；一个好的密码没有任何攻击者可以猜到的逻辑或含义。这里有两个例子：

• 可靠的密码：2&4fkOzQ* 0@8

• 不可靠的密码：Johnny07231976hey!

注意：密码中的符号越多，攻击者破解该密码的难度就越大。

一切加密

加密动态和静态数据可以防止未经授权的第三方窃取或修改关键数据。因此，请尝试加密您的组织在内部网络和基础设施之外发送的每条数据。内部流量的加密可以进一步加强数据保护，但在这种情况下，您需要提供额外的资源以将性能保持在同一水平。Thales CipherTrust Data Security Platform可以为您提供一切您所需的加密，联系揽阁信息获取更多内容。

双因素身份验证和基于角色的访问

对于有权访问云基础设施，尤其是关键元素的每个用户来说，双因素身份验证是必须的。这种措施增加了一层安全性。例如，要登录，您必须提供密码和来自 Google Authenticator 的附加身份验证密钥。因此，您可以防止泄露您密码的攻击者检索您的云 VM 的访问权限，并及时做出反应以关闭该漏洞。

基于角色的访问控制 (RBAC) 是另一种强烈推荐的增强任何基础设施安全性的方法。RBAC 使您能够根据用户在组织中的角色授予每个用户特定的权限。因此，获得员工帐户访问权限的攻击者只能访问、窃取和修改有限数量的数据。

使用 Kubernetes 简化云工作负载的安全管理

Kubernetes 最初是一个开源的容器编排平台，现在可以成为云工作负载（包括虚拟机）的便捷安全管理解决方案。当添加到您的云基础架构中时，Kubernetes 使您能够使用控件的灵活性和自动化功能来增强保护。

例如，您可以部署云 VM，然后将 Kubernetes 设置为根据当前应用的负载和安全策略自动管理该 VM 可用的资源。Kubernetes 可以通过控制对工作负载的访问、为您存储的秘密设置适当的机密性以及检查新添加的工作负载是否具有适当的配置来提供所需级别的数据保护。

与云提供商的本机功能相比，Kubernetes 还可以为您提供额外的或替代的安全功能。您可以组合应用于云工作负载的策略，因为 Kubernetes 在提供商的安全服务和您的策略目标之间设置了一个额外的抽象层。

结论

保护云计算中的虚拟机需要透彻了解与云基础架构相关的威胁和挑战。当您执行以下操作时，可以设置具有弹性的云 VM：

• 在 VM 之间建立安全且独立的连接以避免不需要的数据流

• 使用单独的管理 API 以避免授予一个用户过多的访问权限

• 定期检查 VM 组件是否存在新漏洞

• 隔离专用网络中的元素

• 为云设置定期备份工作流程用于控制数据的虚拟机

此外，使用常见的安全方法，例如生成可靠的密码、加密数据、双因素身份验证和基于角色的访问控制。它们可以增强对任何 IT 基础设施的保护，包括云虚拟机和整个环境。为了简化安全管理，您还可以考虑将 Kubernetes 集成到您的基础架构中。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Thales CDSP支持 Microsoft Azure 上的英特尔 TDX 机密虚拟机

• 增强数据主权：VMware Sovereign Cloud 与 Thales 联手

• 香港云计算安全实务指南（ISPG-SM04）

• Thales保护Google Cloud VMware Engine的数据安全

• VMware和Thales提供安全的虚拟机加密解决方案