close
將雲計算技術應用於網絡安全領域,將網絡安全能力和資源雲化,並且通過互聯網為客戶提供按需的網絡安全服務,從而實現一種全新的網絡安全服務模式,這種安全服務模式通常稱為安全即服務(Security as a Service),往往也簡稱為SaaS。為了避免與雲計算模式的軟件即服務(Software as a Service,SaaS)相混淆,在本書中將這種業務模式稱為安全雲服務(Security Cloud Service,SCS)。
安全雲服務是將雲計算技術和業務模式應用於網絡安全領域而出現的產物,因此在定義安全雲服務前我們先來看看雲計算的定義。
根據美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)的定義,雲計算是一個模型,這個模型可以方便地按需訪問一個可配置的計算資源(例如,網絡、服務器、存儲設備、應用程序以及服務)的公共集,這些資源可以被迅速提供並發布,同時最小化管理成本或服務提供商的幹涉。根據這個定義可以看到,在將雲計算技術應用於網絡安全領域實現安全雲服務時主要應該體現雲計算的以下幾個特征。
(1)計算資源和能力的集群和池化。將計算資源和能力集中起來為多個用戶共享服務,並根據客戶的需求動態分配或再分配不同的物理或虛擬的資源。
(2)以互聯網絡為基礎的業務提供途徑。用戶可以隨時隨地通過網絡使用雲計算服務提供的各種計算資源和能力。
(3)按需自助服務。系統具備為用戶提供靈活的計算資源的管理和分配能力,能夠為用戶提供符合其業務需求的、可伸縮的業務能力。
(4)服務透明化。用戶在使用服務時無須知道雲內部資源的結構、實現方式和地理位置,用戶可以在最小化管理成本和業務提供商交互的情況下獲得自己所關心的業務實現資源。
(5)業務提供服務化。用戶通過雲服務獲得滿足自己需求的計算資源和能力,而非買斷、擁有和維護特定的IT有形產品。
以上幾個特征是雲計算的核心所在,在安全雲服務的部署和實施中如何植入和體現這些特征,是在網絡安全領域延續雲計算生命力的關鍵。因此,借鑒NIST對於雲計算的定義,並保證雲計算各大特征的延續性,我們可以得到如下安全雲服務定義。
所謂安全雲服務就是雲計算技術在網絡安全領域的應用和拓展從而實現網絡安全即服務的一種技術和業務模式,它通過將提升網絡安全能力(包括訪問控制、DDoS防護、病毒和惡意代碼的檢測和處理、網絡流量的安全檢測和過濾、郵件等應用的安全過濾、網絡掃描、Web等特定應用的安全檢測、網絡異常流量檢測等)等的資源集群和池化,使用戶在不需要自身對安全設施進行維護管理以及最小化服務成本與業務提供商交互的情況下,通過互聯網絡得到便捷、按需、可伸縮的網絡安全防護服務。
根據以上定義,安全雲服務同樣具備五個方面的特征。
(1)安全雲服務以網絡安全資源的集群和池化為基礎。這些安全資源包括了滿足各類客戶安全防護需求的各種安全能力,包括在定義中指出的訪問控制、DDoS防護、病毒和惡意代碼的檢測和處理、網絡流量的安全檢測和過濾、郵件等應用的安全過濾、網絡掃描、Web等特定應用的安全檢測、網絡異常流量檢測等,並且在這些安全資源的池化過程中還將因為其安全防範特點及安全雲服務模型的不同而不同。
(2)安全雲服務以互聯網絡為中心,互聯網絡為其服務提供的唯一途徑。根據這一特征,傳統的一些安全服務,例如可管理的安全服務(Managed Security Service,MSS)(包括傳統的安全事件監控、安全接入、防病毒、木馬查殺、內容安全監控、入侵檢測、DDoS攻擊防護、安全掃描等安全服務)、網絡安全管理(Security Operation Center,SOC)業務通過適當的改造,將可以成為安全雲服務的重要組成部分。而一些傳統的並非以網絡為提供途徑的安全服務,如安全代維業務(Security Outsourcing)將不被列入安全雲服務的範疇。由於網絡安全本身的特點,註定了部分安全服務將無法在網絡提供上具備所期望的優勢,特別是在電信運營商未介入安全雲服務市場時,此種情況尤為明顯。
(3)安全雲服務應該具備按需的可伸縮服務。安全雲服務的這種特征來源於兩個方面。首先,安全雲服務系統在設計中具備了各種安全防護能力的分離和按需提供能力,客戶可以靈活地根據其業務特點和安全防護需求選擇相應的安全業務。其次,安全雲服務提供容量上的可伸縮的業務提供能力,這種容量的可伸縮依安全能力的種類而不同,可以是網絡帶寬,也可以是相應的IP地址數量等。
(4)安全雲服務的透明化。安全雲服務系統根據合理的設計使得用戶可以在不必了解內部部署方式的前提下享受相應的安全防護能力,安全雲服務通過整體的安全池中安全設施的單機和集群的維護實現客戶在業務使用中的零維護、零管理,並通過安全雲服務自服務系統的開發實現客戶自助服務和客戶與業務提供商的最小化交互。
(5)安全雲服務的服務化。用戶可不必投資、擁有和維護在安全雲中所能提供相應能力的安全設備,而直接購買安全雲提供的各種業務,因此,在安全雲服務中提供合理的計費和SLA服務指標將是其業務提供的重要組成部分。
在明確了安全雲服務的五大特征之後,我們還需要了解安全雲服務的幾個特點,並在安全雲服務的設計和實施中加以關註。
(1)並非所有的網絡安全防範能力都能在雲計算的引入中獲益,因此在安全雲服務的設計和部署中要註意避免人“雲”亦“雲”。
(2)由於網絡安全自身的特點,在很多的服務提供中安全雲服務通常需要終端和桌面的代理來協助,因此,純雲的模式將很難實現,雲+端模式將是安全雲服務設計和部署的選擇。
(3)根據網絡安全防範的木桶效應,即決定網絡整體安全水平的關鍵因素不是安全性最好的方面,而是安全性最差的方面,正如決定木桶盛水量多少的關鍵因素不是其最長的木板,而是最短的木板,由於安全雲服務未能提供所有的網絡安全防範能力,因此在企業安全設計中除了使用安全雲服務之外,還需要根據安全防範要求考慮相應的安全防範措施。
文章標籤
全站熱搜
留言列表
