|
傳統(tǒng)的IT建設(shè)����,用戶需要自己采購硬件設(shè)備、操作系統(tǒng)���,購買或開發(fā)自己的業(yè)務(wù)系統(tǒng)�����,并投入大量的維護(hù)成本��������?紤]到業(yè)務(wù)的擴(kuò)展和瞬時的使用高峰���,每個系統(tǒng)的計算、存儲能力必須有一定的冗余��,這就意味著大部分時候冗余的資源都被浪費����。然而當(dāng)業(yè)務(wù)爆發(fā)式增長時���, IT設(shè)施由由于建設(shè)周期的制約��,又無法立即滿足需要�。云計算的出現(xiàn)�,將徹底解決這些問題。
云計算通過網(wǎng)絡(luò)將大量的計算和存儲資源連接起來����,進(jìn)行統(tǒng)一的管理和調(diào)度,按需提供服務(wù)���。使用者只需要通過網(wǎng)絡(luò)訪問就可以來獲取存儲空間�����、計算能力或應(yīng)用系統(tǒng)��。
根據(jù)NIST的定義���,云計算的基本特征有:按需自服務(wù)���、廣泛的網(wǎng)絡(luò)接入、資源池���、快速彈性�����、可測量的服務(wù)����。三種服務(wù)模式����,分別為基礎(chǔ)設(shè)施即服務(wù)(IaaS)���,平臺即服務(wù)(PaaS)和軟件即服務(wù)(SaaS)。
相對于傳統(tǒng)的IT建設(shè)模式����,業(yè)務(wù)所有者無需再搭建自己的IT系統(tǒng),只需要成為云計算的租戶���,就可獲得靈活的擴(kuò)展性�����,還能免除了繁瑣的系統(tǒng)維護(hù)工作。由于這種模式下只需要為已經(jīng)使用的資源付費��,因而極大提高了IT建設(shè)的投資回報率����。
然而云計算卻對網(wǎng)絡(luò)安全提出了嚴(yán)重的挑戰(zhàn)。從云計算租戶的角度來看����,網(wǎng)絡(luò)、設(shè)備、應(yīng)用�����、數(shù)據(jù)都不在自己的控制之下����,甚至都不知道具體的物理位置,如何保障數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性顯然就成了最大的挑戰(zhàn)���。以至于思科CEO錢伯斯驚呼“這將是一個安全噩夢”��。
從云提供商的角度來看����,傳統(tǒng)模式下的網(wǎng)絡(luò)安全需求并沒有什么變化���,無論從信息安全的保密性���、完整性、可用性���,還是根據(jù)網(wǎng)絡(luò)層次劃分的從物理層到應(yīng)用層安全����,仍然是需要解決的問題。傳統(tǒng)模式下的網(wǎng)絡(luò)安全解決方案中����,最重要的一點就是建立網(wǎng)絡(luò)邊界,區(qū)分信任域和非信任域����,然后在網(wǎng)絡(luò)邊界進(jìn)行訪問控制和安全防御。而云計算資源池與Internet之間仍然是有邊界的����,在資源池內(nèi)部由于管理的需要,也會有不同域的劃分�����,從而形成內(nèi)部邊界����。這意味著傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品能繼續(xù)發(fā)揮其作用���。
那么是否傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品是否就能充分滿足云計算環(huán)境下的安全需求呢?
傳統(tǒng)IT建設(shè)中業(yè)務(wù)所有者就是平臺所有者��、從而也是安全責(zé)任人�����!队嬎銠C(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》第十條也明確規(guī)定各單位負(fù)責(zé)本網(wǎng)絡(luò)的安全責(zé)任����,確立“誰主管��、誰負(fù)責(zé)����,誰運(yùn)營、誰負(fù)責(zé)”的原則���。云計算及虛擬化的應(yīng)用�����,業(yè)務(wù)所有者僅僅只是云計算的租戶�����,并不是平臺所有者���,從而改變了這種安全責(zé)任關(guān)系��。在不同的服務(wù)模式下��,業(yè)務(wù)所有者的安全責(zé)任也有所不同:在SaaS模式����,業(yè)務(wù)所有者基本上依賴服務(wù)提供著來保證網(wǎng)絡(luò)安全;而PaaS或IaaS模式�����,業(yè)務(wù)所有需要對安全進(jìn)行監(jiān)控和管理�����,但把物理安全等留給云計算服務(wù)提供商�。
這樣的安全責(zé)任變化勢必要求云計算服務(wù)提供商和云租戶需要不同的安全視圖。對于云租戶來說只需要關(guān)心自己的數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性��,不論實際的物理服務(wù)器是處在地球的哪個角落�����。而對于云服務(wù)提供商來說���,既需要關(guān)注每臺服務(wù)器���、每個網(wǎng)絡(luò)的安全,也需要關(guān)注重點租戶的安全狀態(tài)��。
網(wǎng)絡(luò)安全產(chǎn)品如何滿足這些靈活的管理需求?答案就是虛擬化����。安全產(chǎn)品的虛擬化將為云服務(wù)提供商和云用戶提供靈活的、可擴(kuò)展的安全防護(hù)����。
我們來進(jìn)一步分析不同的應(yīng)用場景下傳統(tǒng)安全產(chǎn)品的虛擬化需求。
應(yīng)用場景一:
在SaaS的情況下�����,云計算服務(wù)提供商為租戶建立了資源池��,通過物理線路連接到Internet上�����。云計算服務(wù)提供商需要在Internet的出入口進(jìn)行安全監(jiān)控和管理��,因此部署了FW/UTM、IDS���、審計等安全設(shè)備��,這些設(shè)備能監(jiān)控資源池中所有的服務(wù)器和設(shè)備對外的流量��。
由于統(tǒng)一資源池流量都經(jīng)過同一臺安全設(shè)備�����,而不同的租戶可能對安全的要求并不相同�����,這就意味著要求安全設(shè)備能為不同的租戶提供不同的安全策略���,而區(qū)分不同的租戶不能僅僅依靠物理端口,而必須使用IP地址����、Vlan等標(biāo)識,而產(chǎn)生的日志還需要根據(jù)不同的用戶進(jìn)行過濾和篩選���。這就要求安全設(shè)備從功能層面能具備虛擬設(shè)備的能力���,即可以把安全設(shè)備上的虛擬設(shè)備與用戶的資源池對應(yīng)起來。
應(yīng)用場景二:
隨著云計算租戶對服務(wù)能力需求的增加�,同一個云計算租戶使用的服務(wù)器已經(jīng)不在同一個資源池中,甚至不在同一個地理位置����,即同一個云計算租戶的流量會經(jīng)過多個安全設(shè)備。
在這個應(yīng)用場景中����,就要求能對不同物理安全設(shè)備上的虛擬設(shè)備進(jìn)行統(tǒng)一管理,并能把多個虛擬設(shè)備綁定為一個邏輯設(shè)備���。
應(yīng)用場景三:
在PaaS或IaaS情況下����,除了云計算服務(wù)提供商對安全繼續(xù)監(jiān)控外��,云計算租戶也需要對自己的安全狀態(tài)進(jìn)行監(jiān)控�����。也就是說安全設(shè)備的使用者除了云服務(wù)提供商外,還有云計算租戶�。
這種情況下,安全設(shè)備上除了具備有虛擬引擎的功能外����,還必須可以為云計算租戶來建立賬戶,并指定一個或多個虛擬設(shè)備進(jìn)行管理�����。
通過對以上不同場景的分析可以看出��,不同的安全角色有自己的安全需求�����,在不同的服務(wù)模式下��、不同的資源規(guī)模情況下���,同一個安全角色對安全產(chǎn)品的需求也不同��。其中場景一和場景二分析了云計算中心的網(wǎng)絡(luò)邊界上對安全產(chǎn)品的需求���,場景三分析了云計算租戶和服務(wù)提供商的不同需求。這些需求可以通過傳統(tǒng)安全產(chǎn)品增加虛擬化能力來得到滿足。
云計算的出現(xiàn)����,對傳統(tǒng)網(wǎng)絡(luò)安全理念提出了挑戰(zhàn)。啟明星辰認(rèn)為�����,必須主動迎接新的變化�����,積極思索����,不斷創(chuàng)新�,才能為用戶的業(yè)務(wù)保駕護(hù)航,為安全業(yè)界做出貢獻(xiàn)����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)����!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
