云计算IaaS环境下的公共安全分析

比特网 12年05月24日 11:57 【转载】作者：Adolph 责任编辑：周晓丽

导读：IaaS作为基础设施级别的云计算服务，其将网络、存储、计算等资源进行虚拟化等处理，能够为每个用户提供相对独立的服务器计算资源、存储资源以及在承载网上设定专有的数据转发通道，这种云计算的模式已经得到IT业界的广泛认可。

2.3 IaaS环境下SaaS(安全即服务)的部署模型

在安全即服务的模型指导下，不同的租户可以选择适合自身需要的云服务模型，以满足差异化的需求;同时不同的用户对于同一种服务本身也会存在不同的技术要求，因此在服务模型设计时，需要从横向和纵向两个维度进行考虑为客户设计差异化的技术及方案：

从横向维度来看，云服务商可以根据增值安全服务的类型，在默认支持IPSec VPN接入的情况下，将FW、IPS或者LB等服务作为划分用户等级的元素，通过单类型服务或多种服务组合，设计出不同的套餐种类：如对普通客户默认不提供任何安全增值服务，对铜牌客户默认提供防火墙增值服务，对银牌客户可以提供防火墙加IPS入侵防护的增值服务，而对金牌客户则可以提供包括防火墙、 IPS入侵防御、LB负载均衡以及SSL VPN的全套服务，这种划分方式比较简单直接，用户可以根据自身对安全的需求进行选择(如图1右侧图所示)。

从纵向维度来看，云服务商可以根据不同的用户对于单个增值服务的使用粒度进行划分。如针对防火墙服务，对于不同的用户级别，可以通过吞吐量、并发连接数、安全策略数等易测量指标进行划分，比如可以定义“50M防火墙吞吐量带宽+1万并发连接数+500条安全策略”作为一个基础性能包进行资费定义;

针对IPS服务可以从特征库的类别进行划分，如只开启数据库类特征库、操作系统类特征库或者Web应用特征库等，用户可以根据自身应用系统的情况自行选择;

针对LB负载均衡业务，则可以基于需要调度的流量负载、用户所拥有的最大虚服务个数、最大访问控制策略数等进行组合定义(如图1左侧图所示)。

在SaaS(安全即服务)的模型中，通过对安全作为服务进行精确的、可测量的划分，才能实现不同等级和需求的用户可以根据自身需要基于自助服务平台灵活选择。

在实际的云计算环境部署过程中，多种安全服务将作为独立的资源池部署在云计算网络的汇聚或核心节点(如图2左上部分所示)，针对选择了安全服务的租户，将通过特定的引流策略或路由配置，引导这部分用户流量流经安全资源池，保证用户流量得到安全检查。

3 SaaS(安全即服务)的技术支撑

在SaaS(安全即服务)的模型中，要求安全设备及软件具备以下的技术支撑：

虚拟化的技术支持

在SaaS(安全即服务)的模型下，不同的租户可能选择差异化的安全模型，此时需要安全资源池的设备可以通过虚拟化技术提供基于用户的专有安全服务。如针对防火墙安全业务的租户，为了将不同租户的流量在传输过程中进行安全隔离，需要在防火墙上使能虚拟防火墙技术，不同的租户流量对应到不同的虚拟防火墙实例，此时，每个租户可以在自身的虚拟防火墙实例中配置属于自己的访问控制安全策略，同时要求设备记录所有安全事件的日志，创建基于用户的安全事件分析报告，一方面可以为用户的网络安全策略调整提供技术支撑，另一方面一旦发生安全事件，可以基于这些日志进行事后的安全审计并追踪问题发生的原因。其它的安全服务类型如IPS和LB负载均衡等也需要通过虚拟化技术将流量引入到设备并进行特定的业务处理。

管理平台的技术支持

云计算服务商需要建设统一的云管理平台，实现对整个云计算基础设施资源的管理和监控。在SaaS(安全即服务)的模型要求下，统一的云管理平台应在安全管理功能的完整性以及接口API的开放性两个方面有所考虑。

前者要求管理平台需要切实承担起对全部安全资源池设备的集中设备管理、安全策略部署以及整网安全事件的监控分析和基于用户的报表展示;

后者的考虑是为了适配云计算环境中可能存在的多种安全设备类型或多厂商设备，也需要在API接口的开放性和统一性上进行规范和要求，以实现对下挂安全资源池设备的配置管理和日志格式转换等需求。也只有这样才能实现设备和管理平台的无缝对接，提升云管理平台的自动化管理能力。

结束语

现阶段的云计算IaaS模式在国内还处在发展的初期，SaaS(安全即服务)的模型在安全服务的类型提供、安全资源的可测量性、以及安全运维管理能力基线化方面仍需进一步的探索和实践，才能形成完善的IaaS云计算解决方案，更好的满足用户的需求。