關于安全服務模型的一些思考
一、概述
云計算的發展,可以說是信息技術領域的一次革命。以計算、存儲、網絡虛擬化等技術為依托,將所有的IT資源虛擬化,形成資源池,通過云計算管理平臺,統一為用戶提供所需的服務。這樣用戶在使用相應的服務時,可以像使用傳統的水、電、燃氣一樣,按需購買,按需付費,而避免了復雜的配置、管理和運維。
云計算的主要模式就是把各種資源以服務的方式提供給客戶,它的服務模型形成了“xxx-as-a-Service”的范式,通常包含三種具體的模型:基礎設施即服務(Infrastructure as a Service,IaaS)、平臺即服務(Platform-as-a-Service,PaaS)、軟件即服務(Software-as-a-Service,SaaS)。其中IaaS模式為云用戶提供所需的計算、存儲等基礎設施服務,PaaS模式基于底層的基礎設施資源,為用戶提供應用程序的可運行環境,SaaS則是基于底層的基礎設施資源和程序執行環境,為用戶提供云應用軟件。
從云計算的定義和其服務模式來看,云計算有著以下特點:
- 按需自助服務:用戶可以根據自己的實際需求,獲取相應的服務資源。
- 廣泛的網絡訪問:云平臺通過網絡連接為用戶提供服務,用戶可以通過PC客戶端、移動客戶端等多種方式進行接入管理。
- 資源池化:云服務商依托虛擬化技術,將各種的IT資源匯聚到資源池內,采用多租戶的模式,按照不同的用戶需求將資源池內相應的IT資源分配給對應用戶進行使用。
- 快速彈性化:云計算平臺能夠根據用戶對資源的需求情況,快速的進行資源的動態劃分,使用戶的資源能夠做到彈性的擴容和收縮,保障用戶業務的高效、穩定運行。
- 可度量:云計算之所以能夠按需提供服務,其主要依賴于所提供服務能夠進行有效度量,用戶可以根據自身使用量進行付費。
從云計算的上述特點我們可以總結出云計算所帶來的好處:
- 快速提供服務:對于像IaaS這類服務,用戶在云平臺瀏覽、購買云主機等相應資源,只需輕松幾步,便可以將基礎設施平臺搭建完畢,避免了傳統的服務器采購、服務器組裝、系統安裝、機房建設、網絡規劃等,成本大大縮減。對于像SaaS、IaaS這類的服務,更是購買完成后,可直接使用,無論是從成本和復雜度來看,均有著不小的誘惑。
- 彈性擴容:一方面,從用戶的角度來看,用戶所擁有的資源可以進行彈性的申請和釋放,資源操作更加的方便靈活。另一方面,從云服務商角度來看,云計算的這種資源池化的方式,可以方便的進行資源的擴容與收縮,保證用戶的服務質量。
- 成本低廉:一方面,資源按需購買、隨買隨用,使資源利用率實現了最大化。另一方面,人力成本大大縮減,減少了復雜了購買流程、硬件安裝部署流程以及硬件運維成本。
- 高可用:依托于虛擬化等技術的優勢,通過云計算平臺對虛擬機進行監控,并且可以提供多種服務高可用保障。
- 可移植:虛擬機遷移、虛擬機復制等均可以做到業務的服務高效、快速移植。
那么回到安全的主題,在安全領域,我們傳統的防火墻、IDS、IPS、WAF等通過在用戶數據中心的部署,為用戶機房內的業務提供訪問控制、入侵檢測、入侵防御等安全服務。從上述云計算所帶來的種種好處中,我們驚喜的發現,這些好處同樣是安全防護中所迫切需要的。比如:
(1) 快速提供服務。在安全防護方面,“快”絕對是用戶永恒的追求,各大公司在安全應急響應上均有著很大的一筆支出進行支持。一般的大規模安全事件或者高危的安全漏洞爆出后,通常需要安全防護能夠快速的進行響應,將惡意的攻擊進行有效的防護。此時分分秒秒就能夠影響到巨大的經濟利益。
然而現有的安全產品交付過程,需要經過銷售、售前的溝通,確定部署方案、產品規格、配置,然后下單生產,數周或數月收到貨之后,安全廠商安排工程實施人員進行部署、調試,完成安全服務的交付。這個交付周期對于快速響應、快速防御來說,通常是很難接受的。
(2) 彈性擴容。隨著互聯網尤其是電子商務的發展,高并發、突發的訪問流量逐漸成為了一種常態。例如每年的雙十一,每分鐘幾百萬甚至上千萬的并發訪問,其正常流量無異于一次拒絕服務攻擊,如果在這些正常流量中再摻雜著各種各樣的攻擊流量,那么如何保證在用戶訪問流量驟增的情形下,安全防護仍然能夠有效的進行,安全防護能力不會因為大規模的并發流量而有所削減,成為了用戶對安全產品服務的重要要求。
在安全防護設備中,有著很大一部分是屬于網關類的設備,通常是單臺串接或者旁路部署在用戶業務流量中,一旦流量劇增,將會直接影響安全設備的性能,甚至安全設備會直接成為故障點,造成網絡中斷。如果購買大量的硬件安全設備,來抵御雙十一這種突發的大流量安全防護,那么雙十一結束之后,將會有很多的設備被閑置,造成了成本的巨大浪費。因此如何保證安全服務的提供能夠做到按需服務,彈性擴容和收縮,也是安全用戶所希望的。
(3) 成本低廉。任何用戶在考慮購買產品或服務時,都會想要花最少的錢,獲取質量最高的產品。當然這個成本不單單是指產品標注的價格,還包括用戶在使用過程中所投入的人力成本。
傳統的硬件安全設備,其價格成本通常都不低,而且其部署、維護、使用又需要有一定的安全背景的專門安全運維人員進行操作。安全廠商還要對設備進行故障維護、系統升級等,各種成本累積起來會發現,開銷是一個不小的數字。
(4) 高可用。對于串聯到用戶業務網絡內的防護服務,其高可用是最基本的需求,不能因為安全設備的引入,而成為業務網絡的一個新的故障點。當前的網關類安全設備,通常都是單機串聯的部署方式,對于上文彈性擴容中提及的問題以及設備故障,都會影響用戶的業務網絡。
由此可見,云計算所帶來的種種優勢,恰恰也同樣是安全服務領域里所需要的,那么可否參考云計算的模式,來為用戶提供相應的安全服務呢。
二、安全服務交付新模式—SECaaS
云計算的服務模式形成了“xxx-as-a-Service”的范式,在安全領域同樣可以采用這樣的范式來提供服務,保證安全服務也具有上述提及的種種好處。因此我們可以將安全資源進行云化,形成安全云,安全云為用戶提供各種各樣的安全服務,通常我們將其稱作SECaaS(SECurity as a Service)。
類比企業部署云計算的模式,企業部署安全云同樣也可以有三大類:公有安全云、私有安全云和混合安全云。
- 公有安全云即安全廠商提供的公眾安全服務平臺,理論上任何注冊用戶都可以接入該平臺,獲取相應的安全服務;
- 私有安全云即安全廠商在企業內部建設的專有安全云,由于其部署位置的優勢,通常這種部署方式性能會更好,當然成本也更高;
- 混合安全云就是同時提供公有安全云和私有安全云兩種服務類型的安全云建設方式,比如某大型企業,為了保證其自身安全防護的質量,在其自己的數據中心建設了私有安全云,同時將其中的部分安全服務對外提供給其它中小用戶。由于混合安全云中集成了公有安全云和私有安全云的特性,因此也就不再針對這種部署模式進行贅述。
在用戶獲取安全服務層面看,SECaaS具體也可以分為三種形態:SaaS化的安全服務、PaaS化的安全服務和IaaS化的安全服務。
1. SaaS化的安全服務
SaaS化的安全服務是指用戶可以直接從云端獲取相應的安全服務,而無需安裝部署任何設備。就像用戶可以直接使用云端的郵件服務、文檔管理服務一樣,用戶也可以直接使用云上的安全服務。
從安全云的部署形態來看,SaaS化的安全服務又可以分為公有安全云的SaaS服務和私有安全云的SaaS服務兩類。由于安全服務在流量上的特殊性,這兩種SaaS安全服務之間還是有一定的區別的。
(1) 公有安全云SaaS服務
通常公有安全云的SaaS服務主要以非網關類的安全服務居多,比如網站安全評估、網站安全監測、文檔安全服務等。因為對于公有安全云,所有提供服務的安全設備均部署在安全廠商的云端,那么網關類的安全服務就需要所有的訪問流量都先進入云端設備,云端對其進行清洗后,再將其發往正常的目的地址,這通常對安全云端的帶寬等有較高的要求。
如下圖所示的綠盟云網站安全SaaS解決方案,通過綠盟云提供的7*24小時安全服務,全面的掃描受保護網站的主機漏洞和Web漏洞,以及各種的網頁掛馬檢測、篡改檢測以及敏感內容檢測。一旦發現問題,將第一時間向用戶進行通知確認,并且云端安全專家還會提供更深入精準的咨詢服務。
那么如果采用公有安全云的方式,是否其流量問題就是不可解決的呢?答案當然是否定的。從上文描述可以看出,上文所述的公有安全云服務的所有服務實施體均在安全廠商的安全云上,安全云與用戶的業務網絡之間跨越了廣域網,所以才會產生所謂的流量帶寬的問題。那么如果公有安全云提供的安全服務,其具體實施體在用戶側,這樣的帶寬問題就不存在了。
參考移動客戶端的各種應用提供方式,我們的安全云SaaS服務也可以采用類似的方式,比如云端提供各種安全服務的應用商店,而非直接的安全服務,用戶購買應用后,云端會將該應用與其對應的服務實體下載到用戶數據中心本地,所有的安全防護服務均在業務網絡本地進行實施,而云端僅僅是提供服務、購買服務的功能。其示意圖如下圖所示。
(2) 私有安全云SaaS服務
私有安全云由于其部署運行在用戶側的數據中心,因此理論上可以提供所有類型的SaaS安全服務。通常其方案架構如下圖所示,該私有安全云主要由安全資源池、安全云管理平臺和安全服務應用三大部分組成。用戶通過安全應用獲取對應的安全服務。該種服務模式的細節,可以參見《Security Fabric:軟件定義的彈性安全云》一文。
這里安全服務應用的獲取方式,既可以是安全云廠商提供的標準應用,也可是用戶自己根據云安全管理平臺提供的接口設計編寫的的應用,還可以參照上文中提到安全應用商店,在私有安全云中進行部署,以實現安全應用的獲取方式。
2. PaaS化的安全服務
PaaS化的安全服務和云計算的PaaS模型在概念上略有不同,通常意義上云計算的PaaS是指為用戶提供編程環境。安全云的PaaS服務應該是指,云端可以為用戶提供多種安全服務自動化編排的環境,用戶在購買了PaaS化的安全服務后,云端會提供相應的編程模型、編程接口以及相關的安全服務能力,用戶根據自身的需求,采用最簡潔的腳本形式,形成安全服務的自動化編排,以應對復雜多變的攻擊方式。比如RSA2016創新沙盒產品Phanton,就可以是云端PaaS服務的一種典型例子。
如下圖所示,是安全云提供的用戶自動化服務編排環境,所有的安全服務均抽象為一種種的安全服務能力操作,比如隔離設備、攔截URL,用戶通過腳本編寫自己的安全服務場景,實現更智能、敏捷、自動化的高級安全防護。
對于PaaS化的安全服務,在公有安全云和私有安全云上的區別,和SaaS化的安全服務類似,主要還是源自于流量方面的影響,在服務提供的原理上,二者基本是一致的。
3. IaaS化的安全服務
IaaS化的安全服務主要是指安全云為用戶提供安全設備基礎設施,這種基礎設施既可以用來防護用戶的業務云環境,也可以用來防護用戶的傳統物理網絡。通常IaaS化的安全服務主要體現在安全私有云上。
用戶根據自身需求,自助的通過安全云平臺申請所需要的安全設備種類、安全設備配置、安全設備部署方式、安全設備工作模式等,然后與其業務網絡之間進行互通性的配置,完成完全自主、可控的安全云管理。
這種IaaS化的安全服務提供方式,用戶可操作、可控制的權限非常大,因此所能實現的安全防護場景也更多。當然這樣的操作對于安全運維人員的相關積累和技術要求也越高。
三、總結
本文從云計算出發,結合云計算的優點,分析了云化的各種安全服務提供方式的特點和優勢,總體來看SaaS、PaaS、IaaS三種安全服務提供方式對用戶來講,其使用的門檻和難易度是逐級遞加的,三種服務提供方式對用戶的專業程度要求也是逐級遞加的,其防護的靈活度、安全防護的效果當然也是逐級遞加的。
據筆者的個人了解,從當前安全云的建設來看,主要的安全服務提供方式還是以SaaS類的安全服務居多,無論是公有安全云還是私有安全云。而像PaaS這種用戶可自動化編排的安全防護模式將會給安全云帶來更多的亮點。
【本文是51CTO專欄作者“綠盟科技博客”的原創稿件,轉載請通過51CTO聯系原作者獲取授權】
