• 1
  • 2
  • 3
  • 4
  • 5
云服务器安全 首 页  »  帮助中心  »  云服务器  »  云服务器安全
漫谈云计算环境下的传统安全产品虚拟化
发布日期:2016-2-18 17:2:32

  传统的IT建设,用户需自己采购硬件设备、操作系统,购买或者开发自己的业务系统,并投入大量的维护成本。考虑到业务的扩展和瞬时的使用高峰,每个系统的计算、存储能力必须有一定的冗余,这就意味着大部分时候冗余的资源都被浪费。然而当业务爆发式增长的时候, IT设施由于建设周期的制约,又无法立即满足需要。云计算的出现,将彻底解决这些问题。

  云计算通过网络将大量的计算和存储资源连接起来,进行统一的管理和调度,按需提供服务。使用者只需通过网络访问即可来获取存储空间、计算能力或者应用系统。

  根据NIST的定义,云计算的基本特征有:快速弹性、广泛的网络接入、资源池、按需自服务、可测量的服务。三种服务模式,分别为软件即服务(SaaS)、基础设施即服务(IaaS)与平台即服务(PaaS)。

  相对于传统的IT建设模式,业务所有者无需再搭建自己的IT系统,只需要成为云计算的租户,就可获得灵活的扩展性,还能免除了繁琐的系统维护工作。由于这种模式下只需要为已经使用的资源付费,因而极大提高了IT建设的投资回报率。

  然而云计算却对网络安全提出了严重的挑战。从云计算租户的角度来看,网络、设备、应用、数据都不在自己的控制之下,甚至都不知道具体的物理位置,如何保障数据安全和业务连续性显然就成了最大的挑战。以至于思科CEO钱伯斯惊呼“这将是一个安全噩梦”。

  从云提供商(如阿里云)的角度来看,传统模式下的网络安全需求并没有什么变化,无论从信息安全的保密性、完整性、可用性,还是根据网络层次划分的从物理层到应用层安全,仍然是需解决的问题。传统模式下的网络安全解决方案中,最重要的一点就是建立网络边界,区分信任域和非信任域,然后在网络边界进行访问控制和安全防御。而云计算资源池与Internet之间仍然是有边界的,在资源池内部由于管理的需要,也会有不同域的划分,从而形成内部边界。这意味着传统的网络安全产品能继续发挥其作用。

  那么是不是传统的网络安全产品是不是就能充分满足云计算环境下的安全需求呢?

  传统IT建设中业务所有者就是平台所有者、从而也是安全责任人。《计算机信息网络国际联网安全保护管理办法》第十条也明确规定各单位负责本网络的安全责任,确立“谁主管、谁负责,谁运营、谁负责”的原则。云计算及虚拟化的应用,业务所有者仅仅只是云计算的租户,并不是平台所有者,从而改变了这种安全责任关系。在不同的服务模式下,业务所有者的安全责任也有所不同:在SaaS模式,业务所有者基本上依赖服务提供着来保证网络安全;而PaaS或IaaS模式,业务所有需要对安全进行监控和管理,但把物理安全等留给云计算服务提供商。

  这样的安全责任变化势必要求云计算服务提供商(如阿里云)和云租户需要不同的安全视图。对于云租户来说只需关心自己的数据安全和业务连续性,不论实际的物理服务器是处在地球的哪个角落。而对于云服务提供商(如阿里云)来说,既需要关注每台服务器、每个网络的安全,也需要关注重点租户的安全状态。

  网络安全产品如何满足这些灵活的管理需求?答案就是虚拟化。安全产品的虚拟化将为云服务提供商(如阿里云)和云用户提供灵活的、可扩展的安全防护。

  我们来进一步分析不同的应用场景下传统安全产品的虚拟化需求。

  应用场景一:

  在PaaS或IaaS情况下,除了云计算服务提供商对安全继续监控外,云计算租户也需要对自己的安全状态进行监控。也就是说安全设备的使用者除了云服务提供商外,还有云计算租户。

  这种情况下,安全设备上除了具备有虚拟引擎的功能外,还必须可以为云计算租户来建立账户,并指定一个或多个虚拟设备进行管理。

  应用场景二:

  随着云计算租户对服务能力需求的增加,同一个云计算租户使用的服务器已经不在同一个资源池中,甚至不在同一个地理位置,即同一个云计算租户的流量会经过多个安全设备。

  在这个应用场景中,就要求能对不同物理安全设备上的虚拟设备进行统一管理,并能把多个虚拟设备绑定为一个逻辑设备。

  应用场景三:

  在SaaS的情况下,云计算服务提供商(如阿里云)为租户建立了资源池,通过物理线路连接到Internet上。云计算服务提供商需要在Internet的出入口进行安全监控和管理,因此部署了FW/UTM、IDS、审计等安全设备,这些设备能监控资源池中所有的服务器和设备对外的流量。

  由于统一资源池流量都经过同一台安全设备,而不同的租户可能对安全的要求并不相同,这就意味着要求安全设备能为不同的租户提供不同的安全策略,而区分不同的租户不能仅仅依靠物理端口,而必须使用IP地址、Vlan等标识,而产生的日志还需要根据不同的用户进行过滤和筛选。这就要求安全设备从功能层面能具备虚拟设备的能力,即可以把安全设备上的虚拟设备与用户的资源池对应起来。

  通过对以上不同场景的分析可看出,不同的安全角色有自己的安全需求,在不同的服务模式下、不同的资源规模情况下,同一个安全角色对安全产品的需求也不同。其中场景一和场景二分析了云计算中心的网络边界上对安全产品的需求,场景三分析了云计算租户和服务提供商的不同需求。这些需求可以通过传统安全产品增加虚拟化能力来得到满足。

  云计算的出现,对传统网络安全理念提出了挑战。启明星辰认为,必须主动迎接新的变化,积极思索,不断创新,才能为用户的业务保驾护航,为安全业界做出贡献。