在SaaS(安全即服務)的模型中,通過對安全作為服務進行精確的、可測量的劃分,才能實現(xiàn)不同等級和需求的用戶可以根據(jù)自身需要基于自助服務平臺靈活選擇。

在實際的云計算環(huán)境部署過程中,多種安全服務將作為獨立的資源池部署在云計算網(wǎng)絡的匯聚或核心節(jié)點(如圖2左上部分所示),針對選擇了安全服務的租戶,將通過特定的引流策略或路由配置,引導這部分用戶流量流經(jīng)安全資源池,保證用戶流量得到安全檢查。

3 SaaS(安全即服務)的技術支撐

在SaaS(安全即服務)的模型中,要求安全設備及軟件具備以下的技術支撐:

虛擬化的技術支持

在SaaS(安全即服務)的模型下,不同的租戶可能選擇差異化的安全模型,此時需要安全資源池的設備可以通過虛擬化技術提供基于用戶的專有安全服務。如針對防火墻安全業(yè)務的租戶,為了將不同租戶的流量在傳輸過程中進行安全隔離,需要在防火墻上使能虛擬防火墻技術,不同的租戶流量對應到不同的虛擬防火墻實例,此時,每個租戶可以在自身的虛擬防火墻實例中配置屬于自己的訪問控制安全策略,同時要求設備記錄所有安全事件的日志,創(chuàng)建基于用戶的安全事件分析報告,一方面可以為用戶的網(wǎng)絡安全策略調(diào)整提供技術支撐,另一方面一旦發(fā)生安全事件,可以基于這些日志進行事后的安全審計并追蹤問題發(fā)生的原因。其它的安全服務類型如IPS和LB負載均衡等也需要通過虛擬化技術將流量引入到設備并進行特定的業(yè)務處理。

管理平臺的技術支持

云計算服務商需要建設統(tǒng)一的云管理平臺,實現(xiàn)對整個云計算基礎設施資源的管理和監(jiān)控。在SaaS(安全即服務)的模型要求下,統(tǒng)一的云管理平臺應在安全管理功能的完整性以及接口API的開放性兩個方面有所考慮。

前者要求管理平臺需要切實承擔起對全部安全資源池設備的集中設備管理、安全策略部署以及整網(wǎng)安全事件的監(jiān)控分析和基于用戶的報表展示;

后者的考慮是為了適配云計算環(huán)境中可能存在的多種安全設備類型或多廠商設備,也需要在API接口的開放性和統(tǒng)一性上進行規(guī)范和要求,以實現(xiàn)對下掛安全資源池設備的配置管理和日志格式轉(zhuǎn)換等需求。也只有這樣才能實現(xiàn)設備和管理平臺的無縫對接,提升云管理平臺的自動化管理能力。

結(jié)束語

現(xiàn)階段的云計算IaaS模式在國內(nèi)還處在發(fā)展的初期,SaaS(安全即服務)的模型在安全服務的類型提供、安全資源的可測量性、以及安全運維管理能力基線化方面仍需進一步的探索和實踐,才能形成完善的IaaS云計算解決方案,更好的滿足用戶的需求。

分享到

zhouxiaoli

相關推薦