一、概述

云計(jì)算的發(fā)展，可以說(shuō)是信息技術(shù)領(lǐng)域的一次革命。以計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)虛擬化等技術(shù)為依托，將所有的IT資源虛擬化，形成資源池，通過(guò)云計(jì)算管理平臺(tái)，統(tǒng)一為用戶提供所需的服務(wù)。這樣用戶在使用相應(yīng)的服務(wù)時(shí)，可以像使用傳統(tǒng)的水、電、燃?xì)庖粯?，按需?gòu)買，按需付費(fèi)，而避免了復(fù)雜的配置、管理和運(yùn)維。

[[214074]]

云計(jì)算的主要模式就是把各種資源以服務(wù)的方式提供給客戶，它的服務(wù)模型形成了“xxx-as-a-Service”的范式，通常包含三種具體的模型：基礎(chǔ)設(shè)施即服務(wù)(Infrastructure as a Service，IaaS)、平臺(tái)即服務(wù)(Platform-as-a-Service，PaaS)、軟件即服務(wù)(Software-as-a-Service，SaaS)。其中IaaS模式為云用戶提供所需的計(jì)算、存儲(chǔ)等基礎(chǔ)設(shè)施服務(wù)，PaaS模式基于底層的基礎(chǔ)設(shè)施資源，為用戶提供應(yīng)用程序的可運(yùn)行環(huán)境，SaaS則是基于底層的基礎(chǔ)設(shè)施資源和程序執(zhí)行環(huán)境，為用戶提供云應(yīng)用軟件。

從云計(jì)算的定義和其服務(wù)模式來(lái)看，云計(jì)算有著以下特點(diǎn)：

• 按需自助服務(wù)：用戶可以根據(jù)自己的實(shí)際需求，獲取相應(yīng)的服務(wù)資源。
• 廣泛的網(wǎng)絡(luò)訪問(wèn)：云平臺(tái)通過(guò)網(wǎng)絡(luò)連接為用戶提供服務(wù)，用戶可以通過(guò)PC客戶端、移動(dòng)客戶端等多種方式進(jìn)行接入管理。
• 資源池化：云服務(wù)商依托虛擬化技術(shù)，將各種的IT資源匯聚到資源池內(nèi)，采用多租戶的模式，按照不同的用戶需求將資源池內(nèi)相應(yīng)的IT資源分配給對(duì)應(yīng)用戶進(jìn)行使用。
• 快速?gòu)椥曰涸朴?jì)算平臺(tái)能夠根據(jù)用戶對(duì)資源的需求情況，快速的進(jìn)行資源的動(dòng)態(tài)劃分，使用戶的資源能夠做到彈性的擴(kuò)容和收縮，保障用戶業(yè)務(wù)的高效、穩(wěn)定運(yùn)行。
• 可度量：云計(jì)算之所以能夠按需提供服務(wù)，其主要依賴于所提供服務(wù)能夠進(jìn)行有效度量，用戶可以根據(jù)自身使用量進(jìn)行付費(fèi)。

從云計(jì)算的上述特點(diǎn)我們可以總結(jié)出云計(jì)算所帶來(lái)的好處：

• 快速提供服務(wù)：對(duì)于像IaaS這類服務(wù)，用戶在云平臺(tái)瀏覽、購(gòu)買云主機(jī)等相應(yīng)資源，只需輕松幾步，便可以將基礎(chǔ)設(shè)施平臺(tái)搭建完畢，避免了傳統(tǒng)的服務(wù)器采購(gòu)、服務(wù)器組裝、系統(tǒng)安裝、機(jī)房建設(shè)、網(wǎng)絡(luò)規(guī)劃等，成本大大縮減。對(duì)于像SaaS、IaaS這類的服務(wù)，更是購(gòu)買完成后，可直接使用，無(wú)論是從成本和復(fù)雜度來(lái)看，均有著不小的誘惑。
• 彈性擴(kuò)容：一方面，從用戶的角度來(lái)看，用戶所擁有的資源可以進(jìn)行彈性的申請(qǐng)和釋放，資源操作更加的方便靈活。另一方面，從云服務(wù)商角度來(lái)看，云計(jì)算的這種資源池化的方式，可以方便的進(jìn)行資源的擴(kuò)容與收縮，保證用戶的服務(wù)質(zhì)量。
• 成本低廉：一方面，資源按需購(gòu)買、隨買隨用，使資源利用率實(shí)現(xiàn)了最大化。另一方面，人力成本大大縮減，減少了復(fù)雜了購(gòu)買流程、硬件安裝部署流程以及硬件運(yùn)維成本。
• 高可用：依托于虛擬化等技術(shù)的優(yōu)勢(shì)，通過(guò)云計(jì)算平臺(tái)對(duì)虛擬機(jī)進(jìn)行監(jiān)控，并且可以提供多種服務(wù)高可用保障。
• 可移植：虛擬機(jī)遷移、虛擬機(jī)復(fù)制等均可以做到業(yè)務(wù)的服務(wù)高效、快速移植。

那么回到安全的主題，在安全領(lǐng)域，我們傳統(tǒng)的防火墻、IDS、IPS、WAF等通過(guò)在用戶數(shù)據(jù)中心的部署，為用戶機(jī)房?jī)?nèi)的業(yè)務(wù)提供訪問(wèn)控制、入侵檢測(cè)、入侵防御等安全服務(wù)。從上述云計(jì)算所帶來(lái)的種種好處中，我們驚喜的發(fā)現(xiàn)，這些好處同樣是安全防護(hù)中所迫切需要的。比如：

(1) 快速提供服務(wù)。在安全防護(hù)方面，“快”絕對(duì)是用戶永恒的追求，各大公司在安全應(yīng)急響應(yīng)上均有著很大的一筆支出進(jìn)行支持。一般的大規(guī)模安全事件或者高危的安全漏洞爆出后，通常需要安全防護(hù)能夠快速的進(jìn)行響應(yīng)，將惡意的攻擊進(jìn)行有效的防護(hù)。此時(shí)分分秒秒就能夠影響到巨大的經(jīng)濟(jì)利益。

然而現(xiàn)有的安全產(chǎn)品交付過(guò)程，需要經(jīng)過(guò)銷售、售前的溝通，確定部署方案、產(chǎn)品規(guī)格、配置，然后下單生產(chǎn)，數(shù)周或數(shù)月收到貨之后，安全廠商安排工程實(shí)施人員進(jìn)行部署、調(diào)試，完成安全服務(wù)的交付。這個(gè)交付周期對(duì)于快速響應(yīng)、快速防御來(lái)說(shuō)，通常是很難接受的。

(2) 彈性擴(kuò)容。隨著互聯(lián)網(wǎng)尤其是電子商務(wù)的發(fā)展，高并發(fā)、突發(fā)的訪問(wèn)流量逐漸成為了一種常態(tài)。例如每年的雙十一，每分鐘幾百萬(wàn)甚至上千萬(wàn)的并發(fā)訪問(wèn)，其正常流量無(wú)異于一次拒絕服務(wù)攻擊，如果在這些正常流量中再摻雜著各種各樣的攻擊流量，那么如何保證在用戶訪問(wèn)流量驟增的情形下，安全防護(hù)仍然能夠有效的進(jìn)行，安全防護(hù)能力不會(huì)因?yàn)榇笠?guī)模的并發(fā)流量而有所削減，成為了用戶對(duì)安全產(chǎn)品服務(wù)的重要要求。

在安全防護(hù)設(shè)備中，有著很大一部分是屬于網(wǎng)關(guān)類的設(shè)備，通常是單臺(tái)串接或者旁路部署在用戶業(yè)務(wù)流量中，一旦流量劇增，將會(huì)直接影響安全設(shè)備的性能，甚至安全設(shè)備會(huì)直接成為故障點(diǎn)，造成網(wǎng)絡(luò)中斷。如果購(gòu)買大量的硬件安全設(shè)備，來(lái)抵御雙十一這種突發(fā)的大流量安全防護(hù)，那么雙十一結(jié)束之后，將會(huì)有很多的設(shè)備被閑置，造成了成本的巨大浪費(fèi)。因此如何保證安全服務(wù)的提供能夠做到按需服務(wù)，彈性擴(kuò)容和收縮，也是安全用戶所希望的。

(3) 成本低廉。任何用戶在考慮購(gòu)買產(chǎn)品或服務(wù)時(shí)，都會(huì)想要花最少的錢(qián)，獲取質(zhì)量最高的產(chǎn)品。當(dāng)然這個(gè)成本不單單是指產(chǎn)品標(biāo)注的價(jià)格，還包括用戶在使用過(guò)程中所投入的人力成本。

傳統(tǒng)的硬件安全設(shè)備，其價(jià)格成本通常都不低，而且其部署、維護(hù)、使用又需要有一定的安全背景的專門(mén)安全運(yùn)維人員進(jìn)行操作。安全廠商還要對(duì)設(shè)備進(jìn)行故障維護(hù)、系統(tǒng)升級(jí)等，各種成本累積起來(lái)會(huì)發(fā)現(xiàn)，開(kāi)銷是一個(gè)不小的數(shù)字。

(4) 高可用。對(duì)于串聯(lián)到用戶業(yè)務(wù)網(wǎng)絡(luò)內(nèi)的防護(hù)服務(wù)，其高可用是最基本的需求，不能因?yàn)榘踩O(shè)備的引入，而成為業(yè)務(wù)網(wǎng)絡(luò)的一個(gè)新的故障點(diǎn)。當(dāng)前的網(wǎng)關(guān)類安全設(shè)備，通常都是單機(jī)串聯(lián)的部署方式，對(duì)于上文彈性擴(kuò)容中提及的問(wèn)題以及設(shè)備故障，都會(huì)影響用戶的業(yè)務(wù)網(wǎng)絡(luò)。

由此可見(jiàn)，云計(jì)算所帶來(lái)的種種優(yōu)勢(shì)，恰恰也同樣是安全服務(wù)領(lǐng)域里所需要的，那么可否參考云計(jì)算的模式，來(lái)為用戶提供相應(yīng)的安全服務(wù)呢。

二、安全服務(wù)交付新模式—SECaaS

云計(jì)算的服務(wù)模式形成了“xxx-as-a-Service”的范式，在安全領(lǐng)域同樣可以采用這樣的范式來(lái)提供服務(wù)，保證安全服務(wù)也具有上述提及的種種好處。因此我們可以將安全資源進(jìn)行云化，形成安全云，安全云為用戶提供各種各樣的安全服務(wù)，通常我們將其稱作SECaaS(SECurity as a Service)。

類比企業(yè)部署云計(jì)算的模式，企業(yè)部署安全云同樣也可以有三大類：公有安全云、私有安全云和混合安全云。

• 公有安全云即安全廠商提供的公眾安全服務(wù)平臺(tái)，理論上任何注冊(cè)用戶都可以接入該平臺(tái)，獲取相應(yīng)的安全服務(wù);
• 私有安全云即安全廠商在企業(yè)內(nèi)部建設(shè)的專有安全云，由于其部署位置的優(yōu)勢(shì)，通常這種部署方式性能會(huì)更好，當(dāng)然成本也更高;
• 混合安全云就是同時(shí)提供公有安全云和私有安全云兩種服務(wù)類型的安全云建設(shè)方式，比如某大型企業(yè)，為了保證其自身安全防護(hù)的質(zhì)量，在其自己的數(shù)據(jù)中心建設(shè)了私有安全云，同時(shí)將其中的部分安全服務(wù)對(duì)外提供給其它中小用戶。由于混合安全云中集成了公有安全云和私有安全云的特性，因此也就不再針對(duì)這種部署模式進(jìn)行贅述。

在用戶獲取安全服務(wù)層面看，SECaaS具體也可以分為三種形態(tài)：SaaS化的安全服務(wù)、PaaS化的安全服務(wù)和IaaS化的安全服務(wù)。

1. SaaS化的安全服務(wù)

SaaS化的安全服務(wù)是指用戶可以直接從云端獲取相應(yīng)的安全服務(wù)，而無(wú)需安裝部署任何設(shè)備。就像用戶可以直接使用云端的郵件服務(wù)、文檔管理服務(wù)一樣，用戶也可以直接使用云上的安全服務(wù)。

從安全云的部署形態(tài)來(lái)看，SaaS化的安全服務(wù)又可以分為公有安全云的SaaS服務(wù)和私有安全云的SaaS服務(wù)兩類。由于安全服務(wù)在流量上的特殊性，這兩種SaaS安全服務(wù)之間還是有一定的區(qū)別的。

(1) 公有安全云SaaS服務(wù)

通常公有安全云的SaaS服務(wù)主要以非網(wǎng)關(guān)類的安全服務(wù)居多，比如網(wǎng)站安全評(píng)估、網(wǎng)站安全監(jiān)測(cè)、文檔安全服務(wù)等。因?yàn)閷?duì)于公有安全云，所有提供服務(wù)的安全設(shè)備均部署在安全廠商的云端，那么網(wǎng)關(guān)類的安全服務(wù)就需要所有的訪問(wèn)流量都先進(jìn)入云端設(shè)備，云端對(duì)其進(jìn)行清洗后，再將其發(fā)往正常的目的地址，這通常對(duì)安全云端的帶寬等有較高的要求。

如下圖所示的綠盟云網(wǎng)站安全SaaS解決方案，通過(guò)綠盟云提供的7*24小時(shí)安全服務(wù)，全面的掃描受保護(hù)網(wǎng)站的主機(jī)漏洞和Web漏洞，以及各種的網(wǎng)頁(yè)掛馬檢測(cè)、篡改檢測(cè)以及敏感內(nèi)容檢測(cè)。一旦發(fā)現(xiàn)問(wèn)題，將第一時(shí)間向用戶進(jìn)行通知確認(rèn)，并且云端安全專家還會(huì)提供更深入精準(zhǔn)的咨詢服務(wù)。

那么如果采用公有安全云的方式，是否其流量問(wèn)題就是不可解決的呢?答案當(dāng)然是否定的。從上文描述可以看出，上文所述的公有安全云服務(wù)的所有服務(wù)實(shí)施體均在安全廠商的安全云上，安全云與用戶的業(yè)務(wù)網(wǎng)絡(luò)之間跨越了廣域網(wǎng)，所以才會(huì)產(chǎn)生所謂的流量帶寬的問(wèn)題。那么如果公有安全云提供的安全服務(wù)，其具體實(shí)施體在用戶側(cè)，這樣的帶寬問(wèn)題就不存在了。

參考移動(dòng)客戶端的各種應(yīng)用提供方式，我們的安全云SaaS服務(wù)也可以采用類似的方式，比如云端提供各種安全服務(wù)的應(yīng)用商店，而非直接的安全服務(wù)，用戶購(gòu)買應(yīng)用后，云端會(huì)將該應(yīng)用與其對(duì)應(yīng)的服務(wù)實(shí)體下載到用戶數(shù)據(jù)中心本地，所有的安全防護(hù)服務(wù)均在業(yè)務(wù)網(wǎng)絡(luò)本地進(jìn)行實(shí)施，而云端僅僅是提供服務(wù)、購(gòu)買服務(wù)的功能。其示意圖如下圖所示。

(2) 私有安全云SaaS服務(wù)

私有安全云由于其部署運(yùn)行在用戶側(cè)的數(shù)據(jù)中心，因此理論上可以提供所有類型的SaaS安全服務(wù)。通常其方案架構(gòu)如下圖所示，該私有安全云主要由安全資源池、安全云管理平臺(tái)和安全服務(wù)應(yīng)用三大部分組成。用戶通過(guò)安全應(yīng)用獲取對(duì)應(yīng)的安全服務(wù)。該種服務(wù)模式的細(xì)節(jié)，可以參見(jiàn)《Security Fabric：軟件定義的彈性安全云》一文。

這里安全服務(wù)應(yīng)用的獲取方式，既可以是安全云廠商提供的標(biāo)準(zhǔn)應(yīng)用，也可是用戶自己根據(jù)云安全管理平臺(tái)提供的接口設(shè)計(jì)編寫(xiě)的的應(yīng)用，還可以參照上文中提到安全應(yīng)用商店，在私有安全云中進(jìn)行部署，以實(shí)現(xiàn)安全應(yīng)用的獲取方式。

2. PaaS化的安全服務(wù)

PaaS化的安全服務(wù)和云計(jì)算的PaaS模型在概念上略有不同，通常意義上云計(jì)算的PaaS是指為用戶提供編程環(huán)境。安全云的PaaS服務(wù)應(yīng)該是指，云端可以為用戶提供多種安全服務(wù)自動(dòng)化編排的環(huán)境，用戶在購(gòu)買了PaaS化的安全服務(wù)后，云端會(huì)提供相應(yīng)的編程模型、編程接口以及相關(guān)的安全服務(wù)能力，用戶根據(jù)自身的需求，采用最簡(jiǎn)潔的腳本形式，形成安全服務(wù)的自動(dòng)化編排，以應(yīng)對(duì)復(fù)雜多變的攻擊方式。比如RSA2016創(chuàng)新沙盒產(chǎn)品Phanton，就可以是云端PaaS服務(wù)的一種典型例子。

如下圖所示，是安全云提供的用戶自動(dòng)化服務(wù)編排環(huán)境，所有的安全服務(wù)均抽象為一種種的安全服務(wù)能力操作，比如隔離設(shè)備、攔截URL，用戶通過(guò)腳本編寫(xiě)自己的安全服務(wù)場(chǎng)景，實(shí)現(xiàn)更智能、敏捷、自動(dòng)化的高級(jí)安全防護(hù)。

對(duì)于PaaS化的安全服務(wù)，在公有安全云和私有安全云上的區(qū)別，和SaaS化的安全服務(wù)類似，主要還是源自于流量方面的影響，在服務(wù)提供的原理上，二者基本是一致的。

3. IaaS化的安全服務(wù)

IaaS化的安全服務(wù)主要是指安全云為用戶提供安全設(shè)備基礎(chǔ)設(shè)施，這種基礎(chǔ)設(shè)施既可以用來(lái)防護(hù)用戶的業(yè)務(wù)云環(huán)境，也可以用來(lái)防護(hù)用戶的傳統(tǒng)物理網(wǎng)絡(luò)。通常IaaS化的安全服務(wù)主要體現(xiàn)在安全私有云上。

用戶根據(jù)自身需求，自助的通過(guò)安全云平臺(tái)申請(qǐng)所需要的安全設(shè)備種類、安全設(shè)備配置、安全設(shè)備部署方式、安全設(shè)備工作模式等，然后與其業(yè)務(wù)網(wǎng)絡(luò)之間進(jìn)行互通性的配置，完成完全自主、可控的安全云管理。

這種IaaS化的安全服務(wù)提供方式，用戶可操作、可控制的權(quán)限非常大，因此所能實(shí)現(xiàn)的安全防護(hù)場(chǎng)景也更多。當(dāng)然這樣的操作對(duì)于安全運(yùn)維人員的相關(guān)積累和技術(shù)要求也越高。

三、總結(jié)

本文從云計(jì)算出發(fā)，結(jié)合云計(jì)算的優(yōu)點(diǎn)，分析了云化的各種安全服務(wù)提供方式的特點(diǎn)和優(yōu)勢(shì)，總體來(lái)看SaaS、PaaS、IaaS三種安全服務(wù)提供方式對(duì)用戶來(lái)講，其使用的門(mén)檻和難易度是逐級(jí)遞加的，三種服務(wù)提供方式對(duì)用戶的專業(yè)程度要求也是逐級(jí)遞加的，其防護(hù)的靈活度、安全防護(hù)的效果當(dāng)然也是逐級(jí)遞加的。

據(jù)筆者的個(gè)人了解，從當(dāng)前安全云的建設(shè)來(lái)看，主要的安全服務(wù)提供方式還是以SaaS類的安全服務(wù)居多，無(wú)論是公有安全云還是私有安全云。而像PaaS這種用戶可自動(dòng)化編排的安全防護(hù)模式將會(huì)給安全云帶來(lái)更多的亮點(diǎn)。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過(guò)51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文