在SaaS(安全即服務(wù))的模型中����,通過(guò)對(duì)安全作為服務(wù)進(jìn)行精確的�、可測(cè)量的劃分���,才能實(shí)現(xiàn)不同等級(jí)和需求的用戶可以根據(jù)自身需要基于自助服務(wù)平臺(tái)靈活選擇�����。
在實(shí)際的云計(jì)算環(huán)境部署過(guò)程中���,多種安全服務(wù)將作為獨(dú)立的資源池部署在云計(jì)算網(wǎng)絡(luò)的匯聚或核心節(jié)點(diǎn)(如圖2左上部分所示)����,針對(duì)選擇了安全服務(wù)的租戶,將通過(guò)特定的引流策略或路由配置����,引導(dǎo)這部分用戶流量流經(jīng)安全資源池�,保證用戶流量得到安全檢查�。
3 SaaS(安全即服務(wù))的技術(shù)支撐
在SaaS(安全即服務(wù))的模型中���,要求安全設(shè)備及軟件具備以下的技術(shù)支撐:
虛擬化的技術(shù)支持
在SaaS(安全即服務(wù))的模型下���,不同的租戶可能選擇差異化的安全模型,此時(shí)需要安全資源池的設(shè)備可以通過(guò)虛擬化技術(shù)提供基于用戶的專有安全服務(wù)�����。如針對(duì)防火墻安全業(yè)務(wù)的租戶���,為了將不同租戶的流量在傳輸過(guò)程中進(jìn)行安全隔離,需要在防火墻上使能虛擬防火墻技術(shù)���,不同的租戶流量對(duì)應(yīng)到不同的虛擬防火墻實(shí)例,此時(shí)���,每個(gè)租戶可以在自身的虛擬防火墻實(shí)例中配置屬于自己的訪問(wèn)控制安全策略��,同時(shí)要求設(shè)備記錄所有安全事件的日志�����,創(chuàng)建基于用戶的安全事件分析報(bào)告,一方面可以為用戶的網(wǎng)絡(luò)安全策略調(diào)整提供技術(shù)支撐����,另一方面一旦發(fā)生安全事件����,可以基于這些日志進(jìn)行事后的安全審計(jì)并追蹤問(wèn)題發(fā)生的原因���。其它的安全服務(wù)類(lèi)型如IPS和LB負(fù)載均衡等也需要通過(guò)虛擬化技術(shù)將流量引入到設(shè)備并進(jìn)行特定的業(yè)務(wù)處理。
管理平臺(tái)的技術(shù)支持
云計(jì)算服務(wù)商需要建設(shè)統(tǒng)一的云管理平臺(tái)��,實(shí)現(xiàn)對(duì)整個(gè)云計(jì)算基礎(chǔ)設(shè)施資源的管理和監(jiān)控。在SaaS(安全即服務(wù))的模型要求下����,統(tǒng)一的云管理平臺(tái)應(yīng)在安全管理功能的完整性以及接口API的開(kāi)放性兩個(gè)方面有所考慮��。
前者要求管理平臺(tái)需要切實(shí)承擔(dān)起對(duì)全部安全資源池設(shè)備的集中設(shè)備管理����、安全策略部署以及整網(wǎng)安全事件的監(jiān)控分析和基于用戶的報(bào)表展示;
后者的考慮是為了適配云計(jì)算環(huán)境中可能存在的多種安全設(shè)備類(lèi)型或多廠商設(shè)備��,也需要在API接口的開(kāi)放性和統(tǒng)一性上進(jìn)行規(guī)范和要求�,以實(shí)現(xiàn)對(duì)下掛安全資源池設(shè)備的配置管理和日志格式轉(zhuǎn)換等需求��。也只有這樣才能實(shí)現(xiàn)設(shè)備和管理平臺(tái)的無(wú)縫對(duì)接��,提升云管理平臺(tái)的自動(dòng)化管理能力。
結(jié)束語(yǔ)
現(xiàn)階段的云計(jì)算IaaS模式在國(guó)內(nèi)還處在發(fā)展的初期����,SaaS(安全即服務(wù))的模型在安全服務(wù)的類(lèi)型提供�、安全資源的可測(cè)量性��、以及安全運(yùn)維管理能力基線化方面仍需進(jìn)一步的探索和實(shí)踐�����,才能形成完善的IaaS云計(jì)算解決方案���,更好的滿足用戶的需求����。
