随着许多企业走上数据中心虚拟化道路，信息安全方面必须及时跟进，以支持这个趋势。而当数据中心走上私有云道路，信息安全方面同样需要及时跟进，以满足私有云基础设施的要求。

对大多数企业来说，虚拟化将为它们进入到私有云计算阶段奠定基础和垫脚石。然而，对安全的要求绝不可忽视，也不能在向私有云计算迁移的后期阶段“事后扩充上去”。

尽管信息安全的基本原则仍然一样（确保机密性、完整性、加强访问和验证等），但是企业配置和交付安全服务的方式必须随之变化。无论是支持私有云、公共云还是混合云，安全方面都必须变得具有很强的适应性，以支持这种模式：工作负载与底层的物理硬件脱离开来，可以动态分配给一组计算资源。

我与专门研究数据中心的一名同事Tom Bittman列出了私有云安全基础设施具有的六个必要特性：

1、安全作为一组按需服务来提供。

安全方面需要与时俱进，作为一组“按需”提供的服务来交付，从而在需要工作负载和信息时保护它们，而不是认为信息安全就是一组孤立的安全产品。虚拟化的工作负载在配置、转移、改动、复制和停用时，相应的安全政策需要在工作负载的整个生命周期都与之伴随。

2、可编程的基础设施。

从安全政策管理和政策决定的角度来看，提供这些安全服务的安全基础设施必须变得“可编程”——通常使用可以充分利用代表性状态传输（REST）协议的应用编程接口（API）。这样才能带来更高的自动化级别，让信息安全专业人员能够致力于管理安全政策，而不是针对基础设施进行编程。

3、基于逻辑特性的政策。

安全政策需要与逻辑特性、而不是物理特性紧密地联系起来。安全政策还必须变得能够感知上下文，在制定安全决策时结合更加实时的上下文信息，以便更迅速、更准确地评估应该允许还是禁止某一项操作。

4、自适应信任区。

基于逻辑特性的安全政策将用于为具有类似安全需求和信任级别的工作负载创建逻辑群组——我们称之为“自适应信任区”（adaptive trust zones）。这些信任区必须能够提供高度保障的多租户隔离机制，以便隔离具有不同信任级别的工作负载。

5、独立的控制平面。

企业需要在私有云基础设施里面明确划分IT操作团队和安全团队各自的职责和任务，这就要求虚拟化和私有云计算平台供应商提供这种功能：把安全虚拟机的安全政策制定和操作与数据中心其他虚拟机的管理政策制定和操作隔离开来。

6、“可联合”的政策和身份。

理想情况下，私有云安全基础设施应该能够与数据中心中的其他物理安全基础设施交换和共享（联合）安全政策；部署在物理和虚拟化基础设施上的安全控制措施应该能够智能地协同运行，以检查工作负载。旨在从企业内部保护工作负载的安全政策应该也能够与公共云提供商的安全政策联合起来；不过，目前还没有用来交换安全政策信息的公认标准，比如防火墙和入侵防护系统（IPS）政策信息，所以这种类型的政策联合最初会基于专有的联络机制，比如VMware公司的vCloud API。

如今静态的、孤立的安全基础设施被物理硬件牢牢束缚，无力满足上述这些动态需求，但会在今后五年有所发展，以支持上述特性。

原文名：Securing Private Clouds Requires Changes to Information Security Infrastructure 作者：Neil MacDonald