关于安全服务模型的一些思考

本文从云计算出发,结合云计算的优点,分析了云化的各种安全服务提供方式的特点和优势,总体来看SaaS、PaaS、IaaS三种安全服务提供方式对用户来讲,其使用的门槛和难易度是逐级递加的,三种服务提供方式对用户的专业程度要求也是逐级递加的,其防护的灵活度、安全防护的效果当然也是逐级递加的。

安全服务交付新模式—SECaaS

云计算的服务模式形成了“xxx-as-a-Service”的范式,在安全领域同样可以采用这样的范式来提供服务,保证安全服务也具有上述提及的种种好处。因此我们可以将安全资源进行云化,形成安全云,安全云为用户提供各种各样的安全服务,通常我们将其称作SECaaS(SECurity as a Service)。

类比企业部署云计算的模式,企业部署安全云同样也可以有三大类:公有安全云、私有安全云和混合安全云。

公有安全云即安全厂商提供的公众安全服务平台,理论上任何注册用户都可以接入该平台,获取相应的安全服务

私有安全云即安全厂商在企业内部建设的专有安全云,由于其部署位置的优势,通常这种部署方式性能会更好,当然成本也更高;

混合安全云就是同时提供公有安全云和私有安全云两种服务类型的安全云建设方式,比如某大型企业,为了保证其自身安全防护的质量,在其自己的数据中心建设了私有安全云,同时将其中的部分安全服务对外提供给其它中小用户。由于混合安全云中集成了公有安全云和私有安全云的特性,因此也就不再针对这种部署模式进行赘述。

SaaS化的安全服务

SaaS化的安全服务是指用户可以直接从云端获取相应的安全服务,而无需安装部署任何设备。就像用户可以直接使用云端的邮件服务、文档管理服务一样,用户也可以直接使用云上的安全服务。

从安全云的部署形态来看,SaaS化的安全服务又可以分为公有安全云的SaaS服务和私有安全云的SaaS服务两类。由于安全服务在流量上的特殊性,这两种SaaS安全服务之间还是有一定的区别的。

公有安全云SaaS服务

通常公有安全云的SaaS服务主要以非网关类的安全服务居多,比如网站安全评估、网站安全监测、文档安全服务等。因为对于公有安全云,所有提供服务的安全设备均部署在安全厂商的云端,那么网关类的安全服务就需要所有的访问流量都先进入云端设备,云端对其进行清洗后,再将其发往正常的目的地址,这通常对安全云端的带宽等有较高的要求。

如下图所示的绿盟云网站安全SaaS解决方案,通过绿盟云提供的7*24小时安全服务,全面的扫描受保护网站的主机漏洞和Web漏洞,以及各种的网页挂马检测、篡改检测以及敏感内容检测。一旦发现问题,将第一时间向用户进行通知确认,并且云端安全专家还会提供更深入精准的咨询服务。

那么如果采用公有安全云的方式,是否其流量问题就是不可解决的呢?答案当然是否定的。从上文描述可以看出,上文所述的公有安全云服务的所有服务实施体均在安全厂商的安全云上,安全云与用户的业务网络之间跨越了广域网,所以才会产生所谓的流量带宽的问题。那么如果公有安全云提供的安全服务,其具体实施体在用户侧,这样的带宽问题就不存在了。

参考移动客户端的各种应用提供方式,我们的安全云SaaS服务也可以采用类似的方式,比如云端提供各种安全服务的应用商店,而非直接的安全服务,用户购买应用后,云端会将该应用与其对应的服务实体下载到用户数据中心本地,所有的安全防护服务均在业务网络本地进行实施,而云端仅仅是提供服务、购买服务的功能。其示意图如下图所示。

私有安全云SaaS服务

私有安全云由于其部署运行在用户侧的数据中心,因此理论上可以提供所有类型的SaaS安全服务。通常其方案架构如下图所示,该私有安全云主要由安全资源池、安全云管理平台和安全服务应用三大部分组成。用户通过安全应用获取对应的安全服务。该种服务模式的细节,可以参见《Security Fabric:软件定义的弹性安全云》一文。

这里安全服务应用的获取方式,既可以是安全云厂商提供的标准应用,也可是用户自己根据云安全管理平台提供的接口设计编写的的应用,还可以参照上文中提到安全应用商店,在私有安全云中进行部署,以实现安全应用的获取方式。

PaaS化的安全服务

PaaS化的安全服务和云计算的PaaS模型在概念上略有不同,通常意义上云计算的PaaS是指为用户提供编程环境。安全云的PaaS服务应该是指,云端可以为用户提供多种安全服务自动化编排的环境,用户在购买了PaaS化的安全服务后,云端会提供相应的编程模型、编程接口以及相关的安全服务能力,用户根据自身的需求,采用最简洁的脚本形式,形成安全服务的自动化编排,以应对复杂多变的攻击方式。比如RSA2016创新沙盒产品Phanton,就可以是云端PaaS服务的一种典型例子。

如下图所示,是安全云提供的用户自动化服务编排环境,所有的安全服务均抽象为一种种的安全服务能力操作,比如隔离设备、拦截URL,用户通过脚本编写自己的安全服务场景,实现更智能、敏捷、自动化的高级安全防护。

对于PaaS化的安全服务,在公有安全云和私有安全云上的区别,和SaaS化的安全服务类似,主要还是源自于流量方面的影响,在服务提供的原理上,二者基本是一致的。

IaaS化的安全服务

IaaS化的安全服务主要是指安全云为用户提供安全设备基础设施,这种基础设施既可以用来防护用户的业务云环境,也可以用来防护用户的传统物理网络。通常IaaS化的安全服务主要体现在安全私有云上。

用户根据自身需求,自助的通过安全云平台申请所需要的安全设备种类、安全设备配置、安全设备部署方式、安全设备工作模式等,然后与其业务网络之间进行互通性的配置,完成完全自主、可控的安全云管理。

这种IaaS化的安全服务提供方式,用户可操作、可控制的权限非常大,因此所能实现的安全防护场景也更多。当然这样的操作对于安全运维人员的相关积累和技术要求也越高。

总结

本文从云计算出发,结合云计算的优点,分析了云化的各种安全服务提供方式的特点和优势,总体来看SaaS、PaaS、IaaS三种安全服务提供方式对用户来讲,其使用的门槛和难易度是逐级递加的,三种服务提供方式对用户的专业程度要求也是逐级递加的,其防护的灵活度、安全防护的效果当然也是逐级递加的。

据了解,从当前安全云的建设来看,主要的安全服务提供方式还是以SaaS类的安全服务居多,无论是公有安全云还是私有安全云。而像PaaS这种用户可自动化编排的安全防护模式将会给安全云带来更多的亮点。

本文来自企鹅号 - 绿盟科技媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏熊二哥

《大型网站技术架构》学习笔记-01概述

李智慧老师的大型网站架构已经买了两年了,之前大体看过一次,不过还未内化为自己的本领,最近项目空闲,决定尽力掌握这部分的知识,以跟上大师的节奏。今天是儿童节,祝自...

1995
来自专栏IT大咖说

“双态IT”架构下的自动化运维

摘要 在“双态IT"的架构下,传统业务与创新性业务两种截然不同的业务形态如何统—管理成为了运维人员现在面临的最大挑战。本次演讲旨在探讨对两种业务形态进行统—管理...

2565
来自专栏云计算

迁移到微服务架构

在这篇文章中,我将介绍我对于一些微服务相关问题的看法。第一个问题是为什么金融科技公司应当把遗留的传统架构应用迁移到现代的架构风格上;其次,如何在这一范式迁移过程...

1756
来自专栏SDNLAB

虚拟化如何保证服务提供商的安全性?

在日益复杂的僵尸网络和恶意软件攻击的时代,当今的电信运营商和通信服务提供商比过去任何时代都更容易受到大规模DDoS攻击。 ? 随着DDoS攻击数量和规模的增加,...

3457
来自专栏企鹅号快讯

服务器租用、服务器托管、云服务器哪个好?

服务器租用、服务器托管、云服务器代表了云计算公司对企业客户提供的三种不同模式的服务——物理云,托管云和公有云。云计算虽然技术门槛比较高,对于非专业人士比较神秘。...

2476
来自专栏BestSDK

如何以更少的成本、更便捷的方式构建私有云?

这些选项与传统的服务器部署模式类似:你可以部署在自己的服务器上,也可以在一个联合本地中心部署,你甚至可以在“托管但是专用”的基础上使用一个传统的托管服务。   ...

3197
来自专栏云计算D1net

那些你可能不了解的公有云风险成本

公有云强调了给企业带来的种种好处,但是它并不十全十美。企业应该意识到其不可预测的成本结构以及其他的一些缺点。 ? 公有云服务给予企业诸多优势。他们允许灵活和经济...

3219
来自专栏Rainbond开源「容器云平台」

InfoQ首发报道:Rainbond,国内首个开源的无服务器PaaS

1474
来自专栏大魏分享(微信公众号:david-share)

基于车联网应用场景架构设计PaaS平台以实现DevOps同行技术探讨经验总结

声明:本文作者为edwin1986,上汽通用汽车 系统架构师。本文已获得授权转载。

915
来自专栏云计算D1net

如何将数据中心迁移到云端

随着云计算技术得到了大肆宣传,并为用户、媒体、厂商不断地讨论,在IT行业内实施云计算已经成为一种浪潮,但是要真正实施云计算还存在一定的风险和挑战。诚然,把...

4079

扫码关注云+社区