將雲計算技術應用於網路安全領域,將網路安全能力和資源雲化,並且通過網際網路為客戶提供按需的網路安全服務,從而實現一種全新的網路安全服務模式,這種安全服務模式通常稱為安全即服務(security as a service),往往也簡稱為saas。為了避免與雲計算模式的軟體即服務(software as a service,saas)相混淆,在本書中將這種業務模式稱為安全雲服務(security cloud service,scs)。
安全雲服務是將雲計算技術和業務模式應用於網路安全領域而出現的產物,因此在定義安全雲服務前我們先來看看雲計算的定義。
根據美國國家標準與技術研究院(national institute of standards and technology,nist)的定義,雲計算是乙個模型,這個模型可以方便地按需訪問乙個可配置的計算資源(例如,網路、伺服器、儲存裝置、應用程式以及服務)的公共集,這些資源可以被迅速提供並發布,同時最小化管理成本或服務提供商的干涉。根據這個定義可以看到,在將雲計算技術應用於網路安全領域實現安全雲服務時主要應該體現雲計算的以下幾個特徵。
(1)計算資源和能力的集群和池化。將計算資源和能力集中起來為多個使用者共享服務,並根據客戶的需求動態分配或再分配不同的物理或虛擬的資源。
(2)以網際網路絡為基礎的業務提供途徑。使用者可以隨時隨地通過網路使用雲計算服務提供的各種計算資源和能力。
(3)按需自助服務。系統具備為使用者提供靈活的計算資源的管理和分配能力,能夠為使用者提供符合其業務需求的、可伸縮的業務能力。
(4)服務透明化。使用者在使用服務時無須知道雲內部資源的結構、實現方式和地理位置,使用者可以在最小化管理成本和業務提供商互動的情況下獲得自己所關心的業務實現資源。
(5)業務提供服務化。使用者通過雲服務獲得滿足自己需求的計算資源和能力,而非買斷、擁有和維護特定的it有形產品。
以上幾個特徵是雲計算的核心所在,在安全雲服務的部署和實施中如何植入和體現這些特徵,是在網路安全領域延續雲計算生命力的關鍵。因此,借鑑nist對於雲計算的定義,並保證雲計算各大特徵的延續性,我們可以得到如下安全雲服務定義。
所謂安全雲服務就是雲計算技術在網路安全領域的應用和拓展從而實現網路安全即服務的一種技術和業務模式,它通過將提公升網路安全能力(包括訪問控制、ddos防護、病毒和惡意**的檢測和處理、網路流量的安全檢測和過濾、郵件等應用的安全過濾、網路掃瞄、web等特定應用的安全檢測、網路異常流量檢測等)等的資源集群和池化,使使用者在不需要自身對安全設施進行維護管理以及最小化服務成本與業務提供商互動的情況下,通過網際網路絡得到便捷、按需、可伸縮的網路安全防護服務。
根據以上定義,安全雲服務同樣具備五個方面的特徵。
(1)安全雲服務以網路安全資源的集群和池化為基礎。這些安全資源包括了滿足各類客戶安全防護需求的各種安全能力,包括在定義中指出的訪問控制、ddos防護、病毒和惡意**的檢測和處理、網路流量的安全檢測和過濾、郵件等應用的安全過濾、網路掃瞄、web等特定應用的安全檢測、網路異常流量檢測等,並且在這些安全資源的池化過程中還將因為其安全防範特點及安全雲服務模型的不同而不同。
(2)安全雲服務以網際網路絡為中心,網際網路絡為其服務提供的唯一途徑。根據這一特徵,傳統的一些安全服務,例如可管理的安全服務(managed security service,mss)(包括傳統的安全事件監控、安全接入、防病毒、木馬查殺、內容安全監控、入侵檢測、ddos攻擊防護、安全掃瞄等安全服務)、網路安全管理(security operation center,soc)業務通過適當的改造,將可以成為安全雲服務的重要組成部分。而一些傳統的並非以網路為提供途徑的安全服務,如安全代維業務(security outsourcing)將不被列入安全雲服務的範疇。由於網路安全本身的特點,注定了部分安全服務將無法在網路提供上具備所期望的優勢,特別是在電信運營商未介入安全雲服務市場時,此種情況尤為明顯。
(3)安全雲服務應該具備按需的可伸縮服務。安全雲服務的這種特徵**於兩個方面。首先,安全雲服務系統在設計中具備了各種安全防護能力的分離和按需提供能力,客戶可以靈活地根據其業務特點和安全防護需求選擇相應的安全業務。其次,安全雲服務提供容量上的可伸縮的業務提供能力,這種容量的可伸縮依安全能力的種類而不同,可以是網路頻寬,也可以是相應的ip位址數量等。
(4)安全雲服務的透明化。安全雲服務系統根據合理的設計使得使用者可以在不必了解內部部署方式的前提下享受相應的安全防護能力,安全雲服務通過整體的安全池中安全設施的單機和集群的維護實現客戶在業務使用中的零維護、零管理,並通過安全雲服務自服務系統的開發實現客戶自助服務和客戶與業務提供商的最小化互動。
(5)安全雲服務的服務化。使用者可不必投資、擁有和維護在安全雲中所能提供相應能力的安全裝置,而直接購買安全雲提供的各種業務,因此,在安全雲服務中提供合理的計費和sla服務指標將是其業務提供的重要組成部分。
在明確了安全雲服務的五大特徵之後,我們還需要了解安全雲服務的幾個特點,並在安全雲服務的設計和實施中加以關注。
(1)並非所有的網路安全防範能力都能在雲計算的引入中獲益,因此在安全雲服務的設計和部署中要注意避免人「雲」亦「雲」。
(2)由於網路安全自身的特點,在很多的服務提供中安全雲服務通常需要終端和桌面的**來協助,因此,純雲的模式將很難實現,雲+端模式將是安全雲服務設計和部署的選擇。
(3)根據網路安全防範的木桶效應,即決定網路整體安全水平的關鍵因素不是安全性最好的方面,而是安全性最差的方面,正如決定木桶盛水量多少的關鍵因素不是其最長的木板,而是最短的木板,由於安全雲服務未能提供所有的網路安全防範能力,因此在企業安全設計中除了使用安全雲服務之外,還需要根據安全防範要求考慮相應的安全防範措施。
圖書詳細資訊:
雲服務的安全組規則
所有的安全組,在未新增任何安全組規則之前,無論哪種網絡卡型別,出方向允許所有訪問,入方向拒絕所有訪問。所以,在新增安全組規則時,建議出方向只設定拒絕的規則,入方向只設定允許訪問的規則。當你購買了雲服務例項時,來到控制台可以看到 出方向入方向 而入方向就像這樣 入方向 是指內網中的其他ecs例項或公網...
我對「雲計算」與「雲服務」的定義
對雲計算的定義有多種說法。對於到底什麼是雲計算,至少可以找到100種解釋。3 目前廣為接受的是美國國家標準與技術研究院 nist 定義 雲計算是一種按使用量付費的模式,這種模式提供可用的 便捷的 按需的網路訪問,進入可配置的計算資源共享池 資源包括網路,伺服器,儲存,應用軟體 服務 這些資源能夠被快...
「雲」時代開啟快速 安全服務
和同學 雲,雲裡霧裡,不知所以。最近在做乙個雲計算的綜述,於是想碼下文字,深入了解一下 雲 雲計算是乙個分布式的計算機集群,有計算的伺服器,有儲存的伺服器,是現在十分火爆的商業計算模式,也是乙個分布在很多計算機上的資源群,其實就是對計算機的橫向擴充套件。儲存上採用檔案儲存系統,這裡可以是gfs也可以...