在超融合的基礎(chǔ)設(shè)施和虛擬化成為常態(tài)的世界里，對(duì)加密的要求越來(lái)越高，越來(lái)越迫切，IT部門(mén)需考慮的重大安全問(wèn)題和方法也浮現(xiàn)了出來(lái)。

物理數(shù)據(jù)中心時(shí)代，采取雙保險(xiǎn)式數(shù)據(jù)安全方法是相對(duì)簡(jiǎn)單直觀的解決方案。

比如說(shuō)，除了個(gè)別文件和目錄加密，還對(duì)現(xiàn)場(chǎng)服務(wù)器進(jìn)行全盤(pán)加密(FDE)，最終確保離開(kāi)數(shù)據(jù)中心進(jìn)行維修或做丟棄處理的任何硬盤(pán)都受到了保護(hù)——杜絕客戶數(shù)據(jù)暴露的潛在風(fēng)險(xiǎn)。

但在今天這種超融合的基礎(chǔ)設(shè)施(HCI)和虛擬化世界中，工作負(fù)載是虛擬、動(dòng)態(tài)、移動(dòng)、可擴(kuò)展且脆弱的。

所有這些都讓維護(hù)數(shù)據(jù)安全的工作變得更為困難。

這是為什么呢?為什么要保護(hù)虛擬機(jī)虛擬化和HCI的興起改變了游戲規(guī)則，讓IT團(tuán)隊(duì)可以在本地和遠(yuǎn)程位置快速部署混合工作負(fù)載和融合了虛擬桌面的基礎(chǔ)設(shè)施。

從這個(gè)方面來(lái)說(shuō)，在一個(gè)設(shè)備里組合了計(jì)算、聯(lián)網(wǎng)和管理軟件的超融合的系統(tǒng)基本上就是個(gè)“盒子里的迷你云”，其好處是毋庸置疑的。

但盡管HCI設(shè)備依然托管在現(xiàn)場(chǎng)，它們的工作負(fù)載卻往往是運(yùn)行在虛擬機(jī)里而不是直接在物理硬件上執(zhí)行。

也就是說(shuō)，如今真正需要保護(hù)的是虛擬機(jī)和其中的數(shù)據(jù)，而不是具體的實(shí)體機(jī)器。

IT團(tuán)隊(duì)面臨的重大安全問(wèn)題就是虛擬機(jī)開(kāi)關(guān)非常頻繁，且經(jīng)常處于靜態(tài)數(shù)據(jù)狀態(tài)。

當(dāng)虛擬機(jī)關(guān)機(jī)的時(shí)候，它其實(shí)就是個(gè)可以拷貝到U盤(pán)或共享到網(wǎng)絡(luò)上的大文件。

這里面存在的數(shù)據(jù)安全問(wèn)題可不小。

解決辦法倒是簡(jiǎn)單粗暴，直接加密虛擬機(jī)本身就好了，理想狀態(tài)下使用獨(dú)立于虛擬機(jī)管理程序的客戶機(jī)加密，并且密鑰置于公司的管控之下。

這樣可以確保即便虛擬機(jī)被移動(dòng)到其他HCI節(jié)點(diǎn)，比如說(shuō)被放到公共云或另一個(gè)地理位置，公司也隨時(shí)握有數(shù)據(jù)的控制權(quán)。

加密虛擬機(jī)的好處加密虛擬機(jī)對(duì)IT團(tuán)隊(duì)和整個(gè)公司都有好處。

通過(guò)提供高度可擴(kuò)展的方法確保防護(hù)跟著企業(yè)數(shù)據(jù)走，可以很容易地將保護(hù)延伸至每一臺(tái)新加入的虛擬機(jī)上。

而且，虛擬機(jī)級(jí)保護(hù)不僅能抵御物理硬盤(pán)丟失或被盜的危害，還可以幫IT團(tuán)隊(duì)阻止未授權(quán)數(shù)據(jù)轉(zhuǎn)移、訪問(wèn)或復(fù)制。

采用虛擬機(jī)級(jí)加密方法還有以下5條更深遠(yuǎn)的優(yōu)勢(shì)：1. 持續(xù)防護(hù)與傳輸中工作負(fù)載就沒(méi)有加密的物理級(jí)保護(hù)不同，虛擬機(jī)級(jí)加密能在工作負(fù)載在企業(yè)基礎(chǔ)設(shè)施中移動(dòng)、克隆或做快照時(shí)都提供持續(xù)的保護(hù)。

2. 可移植的防護(hù)虛擬機(jī)級(jí)加密摒除了受硬件、虛擬機(jī)管理器或云提供商限制的風(fēng)險(xiǎn)，為混合IT環(huán)境和傳輸中的工作負(fù)載提供了理想的完全可移植的保護(hù)。

3. 靈活防護(hù)IT部門(mén)可利用虛擬機(jī)級(jí)加密來(lái)加密敏感工作負(fù)載，并連同非敏感工作負(fù)載一起安全執(zhí)行，給不同虛擬機(jī)分配不同密鑰和策略。

4. 增強(qiáng)治理通過(guò)初始化虛擬機(jī)級(jí)加密，IT團(tuán)隊(duì)還能實(shí)現(xiàn)基于啟動(dòng)引導(dǎo)的策略，控制誰(shuí)能訪問(wèn)數(shù)據(jù)，數(shù)據(jù)都存放在哪兒，以及怎么保護(hù)數(shù)據(jù)。

5. 易于終止虛擬機(jī)級(jí)加密還可以安全終止單個(gè)工作負(fù)載，以簡(jiǎn)單直接的方式在工作負(fù)載完結(jié)時(shí)終止。

新施行的嚴(yán)格隱私立法，比如歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)，提升了公司企業(yè)處理和存儲(chǔ)歐盟公民個(gè)人可識(shí)別信息(PII)的風(fēng)險(xiǎn)。

因此，公司企業(yè)需采取恰當(dāng)?shù)拇胧┐_保此類敏感數(shù)據(jù)不出現(xiàn)在公共域。

但在IT環(huán)境虛擬化和超融合的世界，攻擊界面也顯著擴(kuò)張，保護(hù)數(shù)據(jù)本身成為了公司企業(yè)的重中之重。

解決方案就是通過(guò)利用客戶機(jī)加密和將密鑰置入企業(yè)自身掌控之下，來(lái)確保防護(hù)是跟著數(shù)據(jù)走的。

如我們所見(jiàn)，虛擬機(jī)級(jí)加密不僅僅保護(hù)企業(yè)基礎(chǔ)設(shè)施內(nèi)外的工作負(fù)載，還提供了很多其他優(yōu)勢(shì)，包括方便IT部門(mén)控制數(shù)據(jù)安全的各方各面，確保數(shù)據(jù)只能被授權(quán)用戶訪問(wèn)——即便云系統(tǒng)已經(jīng)被黑。