本文將安全云技術(shù)與應(yīng)用從這個(gè)角度出發(fā),深入探討云計(jì)算在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用所衍生出的一類新興云計(jì)算服務(wù)--安全云服務(wù),結(jié)合云計(jì)算定義和特征以及安全服務(wù)的特點(diǎn)分析,詳細(xì)介紹安全云服務(wù)的定義、特征、分類、技術(shù)實(shí)現(xiàn)、實(shí)施和部署等相關(guān)內(nèi)容。本節(jié)為大家介紹安全云服務(wù)的定義和特征。
7.1 安全云服務(wù)的定義和特征
7.2 安全云服務(wù)技術(shù)與實(shí)現(xiàn)
7.3 安全云服務(wù)部署和應(yīng)用
深入分析NIST的云計(jì)算定義,我們可以認(rèn)為云計(jì)算的本質(zhì)就是在將計(jì)算資源和能力集群和池化的基礎(chǔ)上,通過(guò)互聯(lián)網(wǎng)絡(luò)為用戶提供透明、便捷、按需、自助的服務(wù)。作為一種全新的技術(shù)和業(yè)務(wù)模式,資源在云端的高度集中化以及業(yè)務(wù)提供的網(wǎng)絡(luò)化,都對(duì)網(wǎng)絡(luò)安全提出了新的要求。那么如何保證用戶在使用云計(jì)算服務(wù)過(guò)程中的機(jī)密性、完整性、可用性以及業(yè)務(wù)的連續(xù)性,就將是關(guān)系到云計(jì)算能否投入實(shí)用的最關(guān)鍵的環(huán)節(jié)。
本書(shū)以上各章在分析了云計(jì)算存在的各種安全風(fēng)險(xiǎn)的基礎(chǔ)上提出了相應(yīng)的解決方案,解決了云計(jì)算應(yīng)用安全的問(wèn)題。從這個(gè)角度看,網(wǎng)絡(luò)安全的實(shí)施促進(jìn)了云計(jì)算的部署和實(shí)施,是推動(dòng)云計(jì)算得以迅速發(fā)展的一個(gè)關(guān)鍵要素。但對(duì)于網(wǎng)絡(luò)安全與云計(jì)算之間的關(guān)系,我們還應(yīng)該看到另外一方面,即云計(jì)算在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用同樣也可以為網(wǎng)絡(luò)安全技術(shù)和服務(wù)的發(fā)展起到革命性的促進(jìn)作用。本章就將從這個(gè)角度出發(fā),深入探討云計(jì)算在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用所衍生出的一類新興云計(jì)算服務(wù)--安全云服務(wù),結(jié)合云計(jì)算定義和特征以及安全服務(wù)的特點(diǎn)分析,詳細(xì)介紹安全云服務(wù)的定義、特征、分類、技術(shù)實(shí)現(xiàn)、實(shí)施和部署等相關(guān)內(nèi)容。
7.1 安全云服務(wù)的定義和特征
將云計(jì)算技術(shù)應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域,將網(wǎng)絡(luò)安全能力和資源云化,并且通過(guò)互聯(lián)網(wǎng)為客戶提供按需的網(wǎng)絡(luò)安全服務(wù),從而實(shí)現(xiàn)一種全新的網(wǎng)絡(luò)安全服務(wù)模式,這種安全服務(wù)模式通常稱為安全即服務(wù)(Security as a Service),往往也簡(jiǎn)稱為SaaS。為了避免與云計(jì)算模式的軟件即服務(wù)(Software as a Service,SaaS)相混淆,在本書(shū)中將這種業(yè)務(wù)模式稱為安全云服務(wù)(Security Cloud Service,SCS)。
安全云服務(wù)是將云計(jì)算技術(shù)和業(yè)務(wù)模式應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域而出現(xiàn)的產(chǎn)物,因此在定義安全云服務(wù)前我們先來(lái)看看云計(jì)算的定義。
根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of Standards and Technology,NIST)的定義,云計(jì)算是一個(gè)模型,這個(gè)模型可以方便地按需訪問(wèn)一個(gè)可配置的計(jì)算資源(例如,網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)設(shè)備、應(yīng)用程序以及服務(wù))的公共集,這些資源可以被迅速提供并發(fā)布,同時(shí)最小化管理成本或服務(wù)提供商的干涉。根據(jù)這個(gè)定義可以看到,在將云計(jì)算技術(shù)應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域?qū)崿F(xiàn)安全云服務(wù)時(shí)主要應(yīng)該體現(xiàn)云計(jì)算的以下幾個(gè)特征。
(1)計(jì)算資源和能力的集群和池化。將計(jì)算資源和能力集中起來(lái)為多個(gè)用戶共享服務(wù),并根據(jù)客戶的需求動(dòng)態(tài)分配或再分配不同的物理或虛擬的資源。
(2)以互聯(lián)網(wǎng)絡(luò)為基礎(chǔ)的業(yè)務(wù)提供途徑。用戶可以隨時(shí)隨地通過(guò)網(wǎng)絡(luò)使用云計(jì)算服務(wù)提供的各種計(jì)算資源和能力。
(3)按需自助服務(wù)。系統(tǒng)具備為用戶提供靈活的計(jì)算資源的管理和分配能力,能夠?yàn)橛脩籼峁┓掀錁I(yè)務(wù)需求的、可伸縮的業(yè)務(wù)能力。
(4)服務(wù)透明化。用戶在使用服務(wù)時(shí)無(wú)須知道云內(nèi)部資源的結(jié)構(gòu)、實(shí)現(xiàn)方式和地理位置,用戶可以在最小化管理成本和業(yè)務(wù)提供商交互的情況下獲得自己所關(guān)心的業(yè)務(wù)實(shí)現(xiàn)資源。
(5)業(yè)務(wù)提供服務(wù)化。用戶通過(guò)云服務(wù)獲得滿足自己需求的計(jì)算資源和能力,而非買斷、擁有和維護(hù)特定的IT有形產(chǎn)品。
以上幾個(gè)特征是云計(jì)算的核心所在,在安全云服務(wù)的部署和實(shí)施中如何植入和體現(xiàn)這些特征,是在網(wǎng)絡(luò)安全領(lǐng)域延續(xù)云計(jì)算生命力的關(guān)鍵。因此,借鑒NIST對(duì)于云計(jì)算的定義,并保證云計(jì)算各大特征的延續(xù)性,我們可以得到如下安全云服務(wù)定義。
所謂安全云服務(wù)就是云計(jì)算技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用和拓展從而實(shí)現(xiàn)網(wǎng)絡(luò)安全即服務(wù)的一種技術(shù)和業(yè)務(wù)模式,它通過(guò)將提升網(wǎng)絡(luò)安全能力(包括訪問(wèn)控制、DDoS防護(hù)、病毒和惡意代碼的檢測(cè)和處理、網(wǎng)絡(luò)流量的安全檢測(cè)和過(guò)濾、郵件等應(yīng)用的安全過(guò)濾、網(wǎng)絡(luò)掃描、Web等特定應(yīng)用的安全檢測(cè)、網(wǎng)絡(luò)異常流量檢測(cè)等)等的資源集群和池化,使用戶在不需要自身對(duì)安全設(shè)施進(jìn)行維護(hù)管理以及最小化服務(wù)成本與業(yè)務(wù)提供商交互的情況下,通過(guò)互聯(lián)網(wǎng)絡(luò)得到便捷、按需、可伸縮的網(wǎng)絡(luò)安全防護(hù)服務(wù)。
根據(jù)以上定義,安全云服務(wù)同樣具備五個(gè)方面的特征。
(1)安全云服務(wù)以網(wǎng)絡(luò)安全資源的集群和池化為基礎(chǔ)。這些安全資源包括了滿足各類客戶安全防護(hù)需求的各種安全能力,包括在定義中指出的訪問(wèn)控制、DDoS防護(hù)、病毒和惡意代碼的檢測(cè)和處理、網(wǎng)絡(luò)流量的安全檢測(cè)和過(guò)濾、郵件等應(yīng)用的安全過(guò)濾、網(wǎng)絡(luò)掃描、Web等特定應(yīng)用的安全檢測(cè)、網(wǎng)絡(luò)異常流量檢測(cè)等,并且在這些安全資源的池化過(guò)程中還將因?yàn)槠浒踩婪短攸c(diǎn)及安全云服務(wù)模型的不同而不同。這部分內(nèi)容將在7.2.2節(jié)中進(jìn)行詳細(xì)探討。
(2)安全云服務(wù)以互聯(lián)網(wǎng)絡(luò)為中心,互聯(lián)網(wǎng)絡(luò)為其服務(wù)提供的唯一途徑。根據(jù)這一特征,傳統(tǒng)的一些安全服務(wù),例如可管理的安全服務(wù)(Managed Security Service,MSS)(包括傳統(tǒng)的安全事件監(jiān)控、安全接入、防病毒、木馬查殺、內(nèi)容安全監(jiān)控、入侵檢測(cè)、DDoS攻擊防護(hù)、安全掃描等安全服務(wù))、網(wǎng)絡(luò)安全管理(Security Operation Center,SOC)業(yè)務(wù)通過(guò)適當(dāng)?shù)母脑?,將可以成為安全云服?wù)的重要組成部分。而一些傳統(tǒng)的并非以網(wǎng)絡(luò)為提供途徑的安全服務(wù),如安全代維業(yè)務(wù)(Security Outsourcing)將不被列入安全云服務(wù)的范疇。由于網(wǎng)絡(luò)安全本身的特點(diǎn),注定了部分安全服務(wù)將無(wú)法在網(wǎng)絡(luò)提供上具備所期望的優(yōu)勢(shì),特別是在電信運(yùn)營(yíng)商未介入安全云服務(wù)市場(chǎng)時(shí),此種情況尤為明顯。這部分內(nèi)容將在7.2.3和7.3節(jié)中進(jìn)行詳細(xì)討論。
(3)安全云服務(wù)應(yīng)該具備按需的可伸縮服務(wù)。安全云服務(wù)的這種特征來(lái)源于兩個(gè)方面。首先,安全云服務(wù)系統(tǒng)在設(shè)計(jì)中具備了各種安全防護(hù)能力的分離和按需提供能力,客戶可以靈活地根據(jù)其業(yè)務(wù)特點(diǎn)和安全防護(hù)需求選擇相應(yīng)的安全業(yè)務(wù)。其次,安全云服務(wù)提供容量上的可伸縮的業(yè)務(wù)提供能力,這種容量的可伸縮依安全能力的種類而不同,可以是網(wǎng)絡(luò)帶寬,也可以是相應(yīng)的IP地址數(shù)量等。這部分內(nèi)容將在7.2.1節(jié)中進(jìn)行重點(diǎn)討論。
(4)安全云服務(wù)的透明化。安全云服務(wù)系統(tǒng)根據(jù)合理的設(shè)計(jì)使得用戶可以在不必了解內(nèi)部部署方式的前提下享受相應(yīng)的安全防護(hù)能力,安全云服務(wù)通過(guò)整體的安全池中安全設(shè)施的單機(jī)和集群的維護(hù)實(shí)現(xiàn)客戶在業(yè)務(wù)使用中的零維護(hù)、零管理,并通過(guò)安全云服務(wù)自服務(wù)系統(tǒng)的開(kāi)發(fā)實(shí)現(xiàn)客戶自助服務(wù)和客戶與業(yè)務(wù)提供商的最小化交互。這部分內(nèi)容將在7.2.4節(jié)中進(jìn)行重點(diǎn)討論。
(5)安全云服務(wù)的服務(wù)化。用戶可不必投資、擁有和維護(hù)在安全云中所能提供相應(yīng)能力的安全設(shè)備,而直接購(gòu)買安全云提供的各種業(yè)務(wù),因此,在安全云服務(wù)中提供合理的計(jì)費(fèi)和SLA服務(wù)指標(biāo)將是其業(yè)務(wù)提供的重要組成部分。
在明確了安全云服務(wù)的五大特征之后,我們還需要了解安全云服務(wù)的幾個(gè)特點(diǎn),并在安全云服務(wù)的設(shè)計(jì)和實(shí)施中加以關(guān)注。
(1)并非所有的網(wǎng)絡(luò)安全防范能力都能在云計(jì)算的引入中獲益,因此在安全云服務(wù)的設(shè)計(jì)和部署中要注意避免人"云"亦"云"。
(2)由于網(wǎng)絡(luò)安全自身的特點(diǎn),在很多的服務(wù)提供中安全云服務(wù)通常需要終端和桌面的代理來(lái)協(xié)助,因此,純?cè)频哪J綄⒑茈y實(shí)現(xiàn),云+端模式將是安全云服務(wù)設(shè)計(jì)和部署的選擇。這兩種模式將在7.3.1節(jié)詳細(xì)介紹。
(3)根據(jù)網(wǎng)絡(luò)安全防范的木桶效應(yīng),即決定網(wǎng)絡(luò)整體安全水平的關(guān)鍵因素不是安全性最好的方面,而是安全性最差的方面,正如決定木桶盛水量多少的關(guān)鍵因素不是其最長(zhǎng)的木板,而是最短的木板,由于安全云服務(wù)未能提供所有的網(wǎng)絡(luò)安全防范能力,因此在企業(yè)安全設(shè)計(jì)中除了使用安全云服務(wù)之外,還需要根據(jù)安全防范要求考慮相應(yīng)的安全防范措施。