细粒度的访问控制

　　细粒度访问控制是否到位？

　　安全政策和访问控制是云供应商仍然在努力追赶物理计算世界的领域。在很多情况下，访问是“全有”或者“全无”的命题，这意味着一旦用户通过云环境身份验证，他们就可以自由地做很多无意的破坏，例如启动或者停止虚拟服务器，或者在云环境制造其他混乱。

　　在这方面，一些云供应商要优于其他供应商，并允许特定环境内创建虚拟网络或者为个人客户分离访问权。举例来说，美国高尔夫协会想要创建一些新的web应用程序，他们选择了较小的云供应商来获得这种粒度访问，因为很多不同的应用程序组要使用云环境。该协会的信息技术主管Jessica Carroll表示，“我们想要更多的个人支持，并希望我们的IT人员与云供应商靠得更近。我们使用VPN来连接到云网络，但是有两个不同的开发团队在云服务的不同服务器上工作，我们进行了设置，让每个团队智能看到自己的资源，这样开发人员可以在不影响其他设备的情况下重新启动虚拟服务器或者进行其他改变。”

　　Vmware近日向其vSphere产品系列添加了细粒度访问。其vShield Zones产品包括一个基于管理程序的防火墙来执行每个虚拟服务器的网络和端口连接，并在虚拟环境内设置安全政策和防火墙规则。Verizon的计算作为服务的用户可以根据每个虚拟服务器的端口和协议来设置防火墙规则，正如下图所示。

　　还有很多第三方安全工具，例如Hytrust的Vmware设备，允许更细粒度的访问控制，哪些用户对特定虚拟服务器有何种访问权限。

　　相信在不久的将来，云计算供应商将提供更好的粒度访问控制服务。