云存儲虛擬化技術存在哪些安全挑戰

云存儲虛擬化技術存在以下安全挑戰：

• 在虛擬化環境下，不同虛擬主機間的網絡及邏輯邊界被模糊化，傳統互聯網環境下的網絡防火墻、網絡入侵檢測防護技術失去了作用。實現虛擬機間高效的安全隔離是一大安全挑戰。

• 虛擬化環境下，“一虛多”“多虛多”導致攻擊者可以利用已有的虛擬主機使用權限，對同一虛擬化平臺和網絡上的其他虛擬主機進行非法訪問、嗅探和攻擊等。實現虛擬機間高效的認證與訪問控制是一大安全挑戰。

• 虛擬化平臺在傳統的“網絡—系統—應用”的架構上增加了虛擬機監視器（VMM）或虛擬機管理程序（Hypervisor），從而增加了一層軟件棧，其軟件本身存在的安全漏洞以及增加的攻擊點，會導致更多的安全風險。因此，如何更加精確、有效地配置與管理VMM或Hypervisor的特殊權限是一大安全挑戰。

• 虛擬化平臺下存在的安全漏洞及網絡入侵在不同虛擬機之間容易擴散，導致單臺虛擬機的安全問題可能影響整個虛擬化平臺。如果虛擬機隔離不當，就有可能出現非法訪問其他虛擬機或竊聽虛擬機間通信的情況。如何有效限制各類攻擊的擴散及最小化影響相鄰虛擬機是一大安全挑戰。

• 當某一虛擬存儲資源被一個虛擬機使用過后并重新分配給其他虛擬機時，新的虛擬機可能獲取前一虛擬機的數據，從而導致數據泄露風險。如何有效限制同一虛擬資源被重復利用時帶來的安全風險是一大安全挑戰。

云存儲安全需要遵循以下原則：

• 要有合理的安全假設。最好的安全假設是除自己以外的所有實體都是不可信的，因為假設云存儲服務器是不可信的，所以數據擁有者需要對數據加密存放，提取數據時還要進行數據完整性驗證。此外，在系統實現時的密碼算法可由用戶根據數據的敏感度選擇相應強度的加密算法。

• 保障整體性原則。正如“木桶原理”所述，短板最終容易成為眾矢之的，即使其他部位安全強度再高，也沒有意義。因此，根據云存儲系統安全體系結構，制定全生命周期的安全方案，各個部位及環節都需要有完備的安全設計。

• 熟悉安全標準與法規，保障數據的合規性。盡可能選擇本地化服務，要考慮云服務器的物理位置，最好是在可以控制的界限內，比如在企業內部、在國家內部等。

• 對選擇的云存儲服務提供商要有足夠的了解，包括云存儲服務提供商的信譽、服務質量、服務器的可用性與可靠性，甚至還要了解服務器的具體地理位置，雙方的服務協議盡可能具體和細化。同時，根據數據的敏感度選擇云存儲服務提供商及安全機制。

• 對于非常重要的數據，可以考慮建立混合云框架，結合私有云和公共云，可以提供所有云計算的優勢，同時對敏感數據實現重點保護。也可以結合多云存儲，以避免單服務提供商可能造成“廠商鎖定”。

• 建議采用深度防御策略，包括在所有托管主機上應用多因子身份認證，啟用基于主機和基于網絡的入侵檢測系統，應用最小特權、網絡分段概念，實施共享資源補丁策略等。

• 可能做長遠的考慮。雖然目前一些云服務提供商擁有較好的利潤率，但并不意味著將來也一直如此。因此，業務連續性和災難恢復也是用戶需要考慮的問題。

• 盡可能做長遠的考慮。雖然目前一些云服務提供商擁有較好的利潤率，但并不意味著將來也一直如此。因此，業務連續性和災難恢復也是用戶需要考慮的問題。

回答所涉及的環境：聯想天逸510S、Windows 10。