【.com综合报道】在传统IT建设中,用户需要购买硬件设备和操作系统,购买或开发自己的业务系统,投入大量的维护成本。考虑到业务扩展和瞬时使用高峰,每个系统的计算和存储能力都必须具有一定的冗余,这意味着冗余资源大部分时间都被浪费了。但是,当业务爆发式增长时,由于工期的限制,IT设施无法立即满足需求。云计算的出现将彻底解决这些问题。云计算通过网络连接大量的计算和存储资源,进行统一管理和调度,按需提供服务。用户只需通过网络访问访问存储空间、计算能力或应用系统。根据NIST的定义,云计算的基本特征是:按需自助服务、广泛的网络访问、资源池、快速的弹性和可测量的服务。这三种服务模型是基础架构即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。与传统的IT建设模式相比,企业主不再需要建设自己的IT系统。他们只需成为云计算租户,即可获得灵活的扩展性,避免繁琐的系统维护工作。由于这种模式只需要为已经使用的资源付费,大大提高了IT建设的投资回报率。然而,云计算对网络安全提出了严峻挑战。从云计算租户的角度来看,网络、设备、应用、数据都不在他们的掌控之中,甚至不知道具体的物理位置。如何保证数据安全和业务连续性显然成为了最大的挑战。.以至于思科首席执行官钱伯斯惊呼,“这将是一场安全噩梦。”从云提供商的角度来看,传统模式下的网络安全需求并没有改变,无论是在信息安全的保密性、完整性、可用性方面,还是从物理层到应用层安全,从网络层来看,都没有改变。仍然是需要解决的问题。在传统的网络安全解决方案中,最重要的一点是建立网络边界,区分信任域和非信任域,然后在网络边界进行访问控制和安全防御。但是,云计算资源池和互联网还是有界限的。由于资源池内部的管理需要,也划分为不同的域,从而形成内部边界。这意味着传统的网络安全产品可以继续发挥作用。那么传统的网络安全产品是否能够完全满足云计算环境下的安全需求呢?在传统的IT建设中,业务负责人是平台的负责人,也是安全的责任人。《计算机信息网络国际联网安全保护管理办法》第十条还明确规定各单位负责网络安全责任,确立了“谁管、谁负责、谁运行、谁负责”的原则。对于云计算和虚拟化应用,企业主只是云计算的租户,而不是平台所有者,从而改变了这种安全责任关系。不同的服务模式下,企业主的安全责任也不同:在SaaS模式下,企业主基本依赖服务提供商来保障网络安全;而在PaaS或IaaS模式中,企业主需要监控和管理安全,而将物理安全等留给云计算服务提供商。这种安全责任的变化,必然要求云计算服务商和云租户要求不同的安全观。对于云租户来说,他们只需要关心自己的数据安全和业务连续性,而不管实际的物理服务器位于何处。对于云服务提供商来说,不仅需要关注每台服务器、每个网络的安全,还需要关注关键租户的安全状况。网络安全产品如何满足这些灵活的管理需求?答案是虚拟化。安全产品的虚拟化将为云服务提供商和云用户提供灵活、可扩展的安全保护。下面进一步分析传统安全产品在不同应用场景下的虚拟化需求。应用场景一:以SaaS为例,云计算服务商为租户建立资源池,通过物理线路接入互联网。云计算服务商需要在互联网的出入口进行安全监控和管理,因此部署了FW/UTM、IDS、审计等安全设备,可以监控资源中所有服务器和设备的对外流量水池。由于统一资源池的流量经过同一个安全设备,不同的租户可能会有不同的安全需求,这就意味着需要安全设备为不同的租户提供不同的安全策略,不能仅仅根据不同的租户来区分不同的租户。必须使用物理端口、IP地址、Vlan等进行标识,生成的日志需要根据不同的用户进行过滤和筛选。这就要求安全设备从功能层面上具备虚拟设备的能力,即能够将安全设备上的虚拟设备与用户的资源池关联起来。应用场景二:随着云计算租户对服务能力需求的增加,同一个云计算租户使用的服务器不再在同一个资源池,甚至不在同一个地理位置,即同一个云计算租户的流量同一个云计算租户会通过多个安全设备。在该应用场景下,需要对不同物理安全设备上的虚拟设备进行统一管理,并将多个虚拟设备绑定为一个逻辑设备。应用场景三:以PaaS或IaaS为例,除了云计算服务商对安全的持续监控外,云计算租户还需要监控自身的安全状态。也就是说,安全设备的用户除了云服务商之外,还包括云计算租户。在这种情况下,安全设备除了具有虚拟引擎功能外,还必须能够为云计算租户创建账号,并指定一个或多个虚拟设备进行管理。通过以上不同场景的分析,可以看出不同的安全角色有自己的安全需求。在不同的服务模式和不同的资源规模下,同一个安全角色对安全产品的需求是不同的。其中,场景1和场景2分析了云计算中心网络边界对安全产品的需求,场景3分析了云计算租户和服务商的不同需求。这些需求可以通过在传统安全产品中加入虚拟化能力来满足。云计算的出现对传统的网络安全概念提出了挑战。启明星辰相信,我们必须主动迎接新的变化,积极思考,不断创新,才能为用户的业务保驾护航,为安防行业做出贡献。
