关于安全服务模型的一些思考

本文从云计算出发,结合云计算的优点,分析了云化的各种安全服务提供方式的特点和优势,总体来看SaaS、PaaS、IaaS三种安全服务提供方式对用户来讲,其使用的门槛和难易度是逐级递加的,三种服务提供方式对用户的专业程度要求也是逐级递加的,其防护的灵活度、安全防护的效果当然也是逐级递加的。

安全服务交付新模式—SECaaS

云计算的服务模式形成了“xxx-as-a-Service”的范式,在安全领域同样可以采用这样的范式来提供服务,保证安全服务也具有上述提及的种种好处。因此我们可以将安全资源进行云化,形成安全云,安全云为用户提供各种各样的安全服务,通常我们将其称作SECaaS(SECurity as a Service)。

类比企业部署云计算的模式,企业部署安全云同样也可以有三大类:公有安全云、私有安全云和混合安全云。

公有安全云即安全厂商提供的公众安全服务平台,理论上任何注册用户都可以接入该平台,获取相应的安全服务

私有安全云即安全厂商在企业内部建设的专有安全云,由于其部署位置的优势,通常这种部署方式性能会更好,当然成本也更高;

混合安全云就是同时提供公有安全云和私有安全云两种服务类型的安全云建设方式,比如某大型企业,为了保证其自身安全防护的质量,在其自己的数据中心建设了私有安全云,同时将其中的部分安全服务对外提供给其它中小用户。由于混合安全云中集成了公有安全云和私有安全云的特性,因此也就不再针对这种部署模式进行赘述。

SaaS化的安全服务

SaaS化的安全服务是指用户可以直接从云端获取相应的安全服务,而无需安装部署任何设备。就像用户可以直接使用云端的邮件服务、文档管理服务一样,用户也可以直接使用云上的安全服务。

从安全云的部署形态来看,SaaS化的安全服务又可以分为公有安全云的SaaS服务和私有安全云的SaaS服务两类。由于安全服务在流量上的特殊性,这两种SaaS安全服务之间还是有一定的区别的。

公有安全云SaaS服务

通常公有安全云的SaaS服务主要以非网关类的安全服务居多,比如网站安全评估、网站安全监测、文档安全服务等。因为对于公有安全云,所有提供服务的安全设备均部署在安全厂商的云端,那么网关类的安全服务就需要所有的访问流量都先进入云端设备,云端对其进行清洗后,再将其发往正常的目的地址,这通常对安全云端的带宽等有较高的要求。

如下图所示的绿盟云网站安全SaaS解决方案,通过绿盟云提供的7*24小时安全服务,全面的扫描受保护网站的主机漏洞和Web漏洞,以及各种的网页挂马检测、篡改检测以及敏感内容检测。一旦发现问题,将第一时间向用户进行通知确认,并且云端安全专家还会提供更深入精准的咨询服务。

那么如果采用公有安全云的方式,是否其流量问题就是不可解决的呢?答案当然是否定的。从上文描述可以看出,上文所述的公有安全云服务的所有服务实施体均在安全厂商的安全云上,安全云与用户的业务网络之间跨越了广域网,所以才会产生所谓的流量带宽的问题。那么如果公有安全云提供的安全服务,其具体实施体在用户侧,这样的带宽问题就不存在了。

参考移动客户端的各种应用提供方式,我们的安全云SaaS服务也可以采用类似的方式,比如云端提供各种安全服务的应用商店,而非直接的安全服务,用户购买应用后,云端会将该应用与其对应的服务实体下载到用户数据中心本地,所有的安全防护服务均在业务网络本地进行实施,而云端仅仅是提供服务、购买服务的功能。其示意图如下图所示。

私有安全云SaaS服务

私有安全云由于其部署运行在用户侧的数据中心,因此理论上可以提供所有类型的SaaS安全服务。通常其方案架构如下图所示,该私有安全云主要由安全资源池、安全云管理平台和安全服务应用三大部分组成。用户通过安全应用获取对应的安全服务。该种服务模式的细节,可以参见《Security Fabric:软件定义的弹性安全云》一文。

这里安全服务应用的获取方式,既可以是安全云厂商提供的标准应用,也可是用户自己根据云安全管理平台提供的接口设计编写的的应用,还可以参照上文中提到安全应用商店,在私有安全云中进行部署,以实现安全应用的获取方式。

PaaS化的安全服务

PaaS化的安全服务和云计算的PaaS模型在概念上略有不同,通常意义上云计算的PaaS是指为用户提供编程环境。安全云的PaaS服务应该是指,云端可以为用户提供多种安全服务自动化编排的环境,用户在购买了PaaS化的安全服务后,云端会提供相应的编程模型、编程接口以及相关的安全服务能力,用户根据自身的需求,采用最简洁的脚本形式,形成安全服务的自动化编排,以应对复杂多变的攻击方式。比如RSA2016创新沙盒产品Phanton,就可以是云端PaaS服务的一种典型例子。

如下图所示,是安全云提供的用户自动化服务编排环境,所有的安全服务均抽象为一种种的安全服务能力操作,比如隔离设备、拦截URL,用户通过脚本编写自己的安全服务场景,实现更智能、敏捷、自动化的高级安全防护。

对于PaaS化的安全服务,在公有安全云和私有安全云上的区别,和SaaS化的安全服务类似,主要还是源自于流量方面的影响,在服务提供的原理上,二者基本是一致的。

IaaS化的安全服务

IaaS化的安全服务主要是指安全云为用户提供安全设备基础设施,这种基础设施既可以用来防护用户的业务云环境,也可以用来防护用户的传统物理网络。通常IaaS化的安全服务主要体现在安全私有云上。

用户根据自身需求,自助的通过安全云平台申请所需要的安全设备种类、安全设备配置、安全设备部署方式、安全设备工作模式等,然后与其业务网络之间进行互通性的配置,完成完全自主、可控的安全云管理。

这种IaaS化的安全服务提供方式,用户可操作、可控制的权限非常大,因此所能实现的安全防护场景也更多。当然这样的操作对于安全运维人员的相关积累和技术要求也越高。

总结

本文从云计算出发,结合云计算的优点,分析了云化的各种安全服务提供方式的特点和优势,总体来看SaaS、PaaS、IaaS三种安全服务提供方式对用户来讲,其使用的门槛和难易度是逐级递加的,三种服务提供方式对用户的专业程度要求也是逐级递加的,其防护的灵活度、安全防护的效果当然也是逐级递加的。

据了解,从当前安全云的建设来看,主要的安全服务提供方式还是以SaaS类的安全服务居多,无论是公有安全云还是私有安全云。而像PaaS这种用户可自动化编排的安全防护模式将会给安全云带来更多的亮点。

本文来自企鹅号 - 绿盟科技媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SDNLAB

SD-WAN安全三代之变

2135
来自专栏SDNLAB

SDx界新概念——SD-branch萌芽, 与SD-WAN差异揭晓

基于软件的虚拟化提供了一种网络抽象,可以聚合网络元素、简化分支网络操作。随着基于软件技术的出现,行业正处于交付SD-branch愿景的早期阶段。SD-branc...

2324
来自专栏云计算D1net

云计算的优势让灾难恢复更易普及

灾难恢复过去是阳春白雪的东西,只有有钱的与著名的企业才用得起,因为只有实力雄厚的组织才能负担起昂贵的设备,并且有精力有专家去制定一个综合性的灾难恢复计划。 虽然...

2615
来自专栏云计算D1net

助力云部署简化的六款云解决方案

由于云采用率急剧提高,市面上用来保护、管理和监控云环境的解决方案多得让人眼花缭乱。为了帮助你简化这个过程,我们建议使用下列产品来满足采用云方面的所有要求。 ? ...

3316
来自专栏SDNLAB

网络团队还是DevOps:应用程序交付究竟应该由谁管理?

毫无疑问IT技术和基础架构在过年几年当中实现了快速发展。而网站系统也已经从最初的“脚本和文件的简单组合”发展成为“由可重用代码组件构成的复杂模块化应用系统”——...

26910
来自专栏云计算D1net

容器采用时最常见的N个挑战该如何克服?

虽然容器技术势头不减,但仍然没有在企业中被广泛采用。虽然许多DevOps团队正在尝试使用容器并将此技术慢慢引入生产环境中来,但大多数组织机构仍然不知道从哪里开始...

2593
来自专栏云计算D1net

中小企业IT建设经验谈:如何正确地使用云存储

我是一家小型企业的IT经理,从创立之初我就加盟了这家公司。从最初的单打独斗到如今带领一个不大的团队,我一直在负责公司IT系统的建设与运维。如今,公司的业务已经步...

3124
来自专栏黑白安全

WPA3,WiFi加密协议:你应该知道的事情

作为标准无线网络安全协议的长期 WPA2协议在2017年10月16日受到重创,并且已经成为“ KRACK中严重的安全漏洞“重新加载攻击旋涡。正如 Mathy V...

872
来自专栏美团技术团队

数据库智能运维探索与实践

近些年,传统的数据库运维方式已经越来越难于满足业务方对数据库的稳定性、可用性、灵活性的要求。随着数据库规模急速扩大,各种NewSQL系统上线使用,运维逐渐跟不上...

281
来自专栏SDNLAB

传统边界已消失 深聊SDN在企业网当中角色

编者按:SDN是近些年IT行业热议的话题,通过与云平台之间相互配合部署,SDN不仅能够大大降低企业的IT部门采购硬件设备的成本,同时在扩展企业网络方面也提供了强...

3255

扫码关注云+社区