圖1 差異化的SaaS(安全即服務(wù))模型定義示意圖
在SaaS(安全即服務(wù))的模型中�,通過對安全作為服務(wù)進(jìn)行精確的�����、可測量的劃分�����,才能實(shí)現(xiàn)不同等級和需求的用戶可以根據(jù)自身需要基于自助服務(wù)平臺 靈活選擇���。在實(shí)際的云計(jì)算環(huán)境部署過程中���,多種安全服務(wù)將作為獨(dú)立的資源池部署在云計(jì)算網(wǎng)絡(luò)的匯聚或核心節(jié)點(diǎn)(如圖2左上部分所示),針對選擇了安全服務(wù) 的租戶�����,將通過特定的引流策略或路由配置���,引導(dǎo)這部分用戶流量流經(jīng)安全資源池�,保證用戶流量得到安全檢查����。
圖2 SaaS(安全即服務(wù))在云計(jì)算環(huán)境中心的部署
3 SaaS(安全即服務(wù))的技術(shù)支撐
在SaaS(安全即服務(wù))的模型中,要求安全設(shè)備及軟件具備以下的技術(shù)支撐:
l 虛擬化的技術(shù)支持
在SaaS(安全即服務(wù))的模型下��,不同的租戶可能選擇差異化的安全模型���,此時(shí)需要安全資源池的設(shè)備可以通過虛擬化技術(shù)提供基于用戶的專有安全服 務(wù)�����。如針對防火墻安全業(yè)務(wù)的租戶���,為了將不同租戶的流量在傳輸過程中進(jìn)行安全隔離,需要在防火墻上使能虛擬防火墻技術(shù)��,不同的租戶流量對應(yīng)到不同的虛擬防 火墻實(shí)例���,此時(shí)�,每個(gè)租戶可以在自身的虛擬防火墻實(shí)例中配置屬于自己的訪問控制安全策略��,同時(shí)要求設(shè)備記錄所有安全事件的日志��,創(chuàng)建基于用戶的安全事件分 析報(bào)告�,一方面可以為用戶的網(wǎng)絡(luò)安全策略調(diào)整提供技術(shù)支撐,另一方面一旦發(fā)生安全事件,可以基于這些日志進(jìn)行事后的安全審計(jì)并追蹤問題發(fā)生的原因�����。其它的 安全服務(wù)類型如IPS和LB負(fù)載均衡等也需要通過虛擬化技術(shù)將流量引入到設(shè)備并進(jìn)行特定的業(yè)務(wù)處理�。
l 管理平臺的技術(shù)支持
云計(jì)算服務(wù)商需要建設(shè)統(tǒng)一的云管理平臺,實(shí)現(xiàn)對整個(gè)云計(jì)算基礎(chǔ)設(shè)施資源的管理和監(jiān)控���。在SaaS(安全即服務(wù))的模型要求下�����,統(tǒng)一的云管理平臺應(yīng)在 安全管理功能的完整性以及接口API的開放性兩個(gè)方面有所考慮�。前者要求管理平臺需要切實(shí)承擔(dān)起對全部安全資源池設(shè)備的集中設(shè)備管理��、安全策略部署以及整 網(wǎng)安全事件的監(jiān)控分析和基于用戶的報(bào)表展示;后者的考慮是為了適配云計(jì)算環(huán)境中可能存在的多種安全設(shè)備類型或多廠商設(shè)備���,也需要在API接口的開放性和統(tǒng) 一性上進(jìn)行規(guī)范和要求�����,以實(shí)現(xiàn)對下掛安全資源池設(shè)備的配置管理和日志格式轉(zhuǎn)換等需求��。也只有這樣才能實(shí)現(xiàn)設(shè)備和管理平臺的無縫對接�����,提升云管理平臺的自動(dòng) 化管理能力��。
結(jié)束語
現(xiàn)階段的云計(jì)算IaaS模式在國內(nèi)還處在發(fā)展的初期���,SaaS(安全即服務(wù))的模型在安全服務(wù)的類型提供、安全資源的可測量性����、以及安全運(yùn)維管理能力基線化方面仍需進(jìn)一步的探索和實(shí)踐,才能形成完善的IaaS云計(jì)算解決方案��,更好的滿足用戶的需求�����。
