6. Bảo mật dữ liệu trên một đám mây
6.2.2.Bảo vệ tại các ranh giới máy ảo
Chuyên gia bảo mật truyền thống giới thiệu phân vùng một hệ thống như một cách bảo vệ. Người ta có thể đặt một bức tường lửa trên bất kỳ máy chủ trong phòng thí nghiệm, bất cứ nơi nào các máy chủ được lưu trữ. Sự dễ dàng của việc tạo ra các máy ảo mới cung cấp nhiều cách để cải thiện sự an toàn của dữ liệu hầu như lưu trữ bằng cách tạo ra ranh giới mới. Trong phần này, chúng tôi kiểm tra các tiện ích của tài nguyên phân vùng thành các khu vực riêng biệt, chống các cuộc tấn công mà không phá vỡ máy ảo hay xâm nhập vào các máy ảo khác.
Xem xét rằng nếu hai mục dữ liệu trên cùng một hệ thống, sau đó hệ thống phải truy cập vào bất cứ ai mà truy cập vào một trong hai mục. Giả sử mục D1 là để được chia sẻ với cộng tác viên được lựa chọn, và D2 là phải được thiết lập công khai. Bây giờ giả sử chúng ta đặt D1 và D2 trên máy chủ của phòng thí nghiệm. Do mong muốn của chúng tôi để chia sẻ, đặc biệt là cho D2, chúng tôi đã tăng số lượng người có thể truy cập vào máy chủ trong phòng thí nghiệm. Có tăng nguy cơ cho tất cả các dữ liệu khác trên máy chủ đó. Tránh việc này lợi ích rất nhiều đối với an ninh lưu trữ trong một đám mây.
Thay vì máy chủ chia sẻ tài nguyên trên một đám mây, sẽ giảm nguy cơ đối với các nguồn lực khác của phòng thí nghiệm. Tiếp theo, người ta có thể có thể phân vùng các nguồn lực để D1 và D2 phân bổ trên các máy ảo riêng biệt, mỗi khu vực sẽ bị
giới hạn chặt chẽ hơn bởi tường lửa và tài khoản người dùng cũng ít hơn. Bây giờ một kẻ tấn công D2 sẽ không gây nguy hại cho D1. Hơn nữa, các máy ảo trong đám mây không hoạt động như một máy tính mục đích chung, vì vậy người ta có thể tạo ra một bức tường lửa từ chối các loại truy cập không cần thiết (cổng, giao thức, dịch vụ, vv), nó chỉ cần cung cấp các dịch vụ trong điều khoản.
Một cách tiếp cận trung gian là thuê ngoài một máy ảo mới trong trung tâm dữ liệu ảo hóa trong tổ chức của bạn. Tại các phòng thí nghiệm có được những lợi ích, nhưng rủi ro của tổ chức thực sự tăng, vì nhiều người dùng có tài khoản trên trung tâm dữ liệu ảo. Ngoài ra, tường lửa của tổ chức có thể gây ra khó khăn (như được thảo luận trong mục 3.4) trong khi bảo vệ rất hạn chế - tường lửa có thể cho phép các ứng dụng dùng để tấn công (ví dụ, email) và có hàng ngàn nhân viên có khả năng độc hại hoặc vui tươi hoặc sinh viên bên trong. Hiệu lực an ninh mạng tường lửa thậm chí có thể là phản tác dụng nếu các phòng thí nghiệm để bỏ qua các biện pháp an ninh riêng của họ.