云端防火墙

在过去几年中，云计算平台和服务已经走过了漫长的道路。2010年，云产业论坛（CIF）发现，只有48％的英国组织有意识地使用了云服务。目前这一数字升至84％，超过78％的用户使用了两种或更多云服务。

通过将数据迁移到云端可以实现许多好处，大多数组织开始意识到其潜力也就不足为奇了。然而，特别是对于公共云端服务来说，关键的问题仍然是安全性。在大多数情况下，云端服务供应商已经关注到网络硬件的安全性，但是他们实施复杂的安全解决方案的速度较慢，这些解决方案在应用层提供保护。缺乏应用层支持会在某种程度上暴露租户，如果他们将数据驱动的应用程序放置在云虚拟机中。

云端安全面临的难题

通常来说，你在物理数据中心面临的任何威胁都将出现在基于云的中心。但在基于云的中心，两者之间的远程链接的复杂性增加，缺乏直接所有权和控制权。因此，当你将应用程序扩展到云端时，你也在扩展自己的身份、网络和访问控制、信息保护和端点安全性概念。

例如，对于Microsoft Azure的租户，有许多安全控制可以保护基础设施、云fabric、hypervisors（一种运行在基础物理服务器和操作系统之间的中间软件层，可允许多个操作系统和应用共享硬件）、服务和租户环境。但是，当涉及到特定于工作负载的安全性时，例如保护应用程序流量免受攻击并实施反恶意软件解决方案，Azure及其同行的安全性不尽人意。这主要是因为云服务供应商不了解客户的正常操作与恶意流量的构成。

在公共云模型中，失去直接控制意味着无法依靠物理基础设施来保护应用程序和数据。虽然自有的安全设备（如防火墙、V**、IPS等）提供强大的安全“外墙”，但基于云的环境仅具有共享服务提供的或服务器操作系统中包含的基础保护。因此，网络和应用程序防火墙在云环境中的角色变得更加重要。

进入虚拟云防火墙

通过虚拟安全设备利用新的保护层可以解决云端安全的需求，该安全设备位于你的租户环境中，并利用应用程序可见性和用户感知来智能地管理流量和带宽。

基于云的虚拟防火墙可以满足云端的许多安全需求，包括：

• 安全数据中心：虚拟防火墙可以过滤和管理流入或流出互联网的、虚拟网络间或租户间的流量，以保护虚拟数据中心。如果你要将解决方案迁移到云端，就需要在云环境和本地基础设施之间实现安全连接，对此，虚拟防火墙将物理数据中心安全地扩展到云端显得尤为重要。
• 保护远程访问：虽然从加密和隐私角度来看，用于配置V**网关的标准隧道肯定是安全的，但它们并未达到许多IT组织基于硬件的防火墙所依赖的控制级别。虚拟防火墙可以提供必要的高级访问策略、过滤和连接管理，以提供客户端对云端的访问。对于加密内容，虚拟防火墙可以确保所有数据（无论源数据或目标数据）都采取与自有的基于硬件的防火墙相同的保护措施。
• 身份：由于大多数云平台并非旨在拦截恶意intent，因此虚拟防火墙对于维护应用和数据的完整性和机密性至关重要。它应该与大多数知名的访问控制供应商结合，提供广泛的基于策略的粒度过滤工具。
• 管理：虽然云供应商通常会为租户提供隔离和安全保护，但需要虚拟防火墙来提供一套全面的工具来管理性能、使用情况、可见性、报告、配置以及通常与在自有区域网运行的虚拟网络相关联的其他功能。

专用于该任务的工具

可以用与物理数据中心相同的方式查看基于云的网络和应用程序的安全性：平台提供的功能和应用程序结构必须提供的功能。使用专用于该任务的工具，可以更轻松地保护云端应用程序和数据。基于云的虚拟防火墙将在应用程序和数据所在的位置提供保护，将自有的数据中心网络保护功能与公共云端的安全需求相结合。