【51CTO.com综合报道】传统的IT在建设中,用户需要购买或开发自己的硬件设备和操作系统,并投入大量的维护成本。考虑到业务的扩展和瞬时使用的高峰,每个系统的计算和存储能力都必须有一定的冗余,这意味着冗余资源大多被浪费。然而,当业务爆炸性增长时,IT由于施工周期的限制,设施无法立即满足需要。云计算的出现将彻底解决这些问题。
云计算通过网络连接大量的计算和存储资源,进行统一的管理和调度,并根据需要提供服务。用户可以通过网络访问获得存储空间、计算能力或应用系统。
根据NIST云计算的基本特点是:自我服务、广泛的网络接入、资源池、快速灵活性和可测量的服务。基础设施和服务是三种服务模式(IaaS),平台即服务(PaaS)以软件为服务(SaaS)。
与传统相比IT业务所有者不需要建立自己的建设模式IT系统只需要成为云计算的租户,就可以获得灵活的扩展,避免繁琐的系统维护工作。因为这种模式只需要为已经使用的资源付费,所以大大提高了IT建设投资回报率。
然而,云计算对网络安全构成了严重挑战。从云计算租户的角度来看,网络、设备、应用程序、数据不受自身控制,甚至不知道具体的物理位置,如何确保数据安全和业务连续性显然已经成为***以至于思科CEO钱伯斯惊呼“这将是一场安全噩梦”。
从云供应商的角度来看,传统模式下的网络安全需求没有变化,无论是从信息安全的保密性、完整性、可用性,还是从物理层到应用层的安全,都仍然是一个需要解决的问题。在传统模式下的网络安全解决方案中,最重要的是建立网络边界,区分信任域和非信任域,然后在网络边界进行访问控制和安全防御。云计算资源池和Internet它们之间仍然有边界。由于资源池内管理的需要,会有不同的域划分,从而形成内部边界。这意味着传统的网络安全产品可以继续发挥作用。
传统的网络安全产品能否充分满足云计算环境下的安全需求?
传统IT在建设过程中,业务所有者是平台所有者,因此也是安全责任人。《计算机信息网络国际网络安全保护管理办法》第十条还明确规定,各单位对网络的安全责任负责“谁主管、谁负责,谁运营、谁负责”原则。在云计算和虚拟应用中,业务所有者只是云计算的租户,而不是平台所有者,从而改变了这种安全责任关系。在不同的服务模式下,业务所有者的安全责任也不同:在SaaS在模式上,业务所有者基本上依赖服务来确保网络安全;PaaS或IaaS所有业务都需要监控和管理安全,但物理安全留给云计算服务提供商。
这种安全责任变化必然要求云计算服务提供商和云租户需要不同的安全视图。对于云租户来说,无论实际物理服务器在地球的哪个角落,他们只需要关注自己的数据安全和业务连续性。对于云服务提供商来说,他们不仅需要关注每个服务器和网络的安全,还需要关注关键租户的安全状态。
网络安全产品如何满足这些灵活的管理需求?答案是虚拟化。拟化将为云服务提供商和云用户提供灵活可扩展的安全保护。
在不同的应用场景下,我们将进一步分析传统安全产品的虚拟化需求。
应用场景一:
在SaaS在这种情况下,云计算服务提供商通过物理线路为租户建立了资源池Internet上去。云计算服务提供商需要Internet安全监控和管理出入口,部署FW/UTM、IDS、这些设备可以监控资源池中所有服务器和设备的外部流量。
由于统一的资源池流量通过相同的安全设备,不同的租户可能有不同的安全要求,这意味着安全设备可以为不同的租户提供不同的安全策略,不同的租户不仅可以依靠物理端口,而且必须使用IP地址、Vlan等待标志,生成的日志也需要根据不同的用户进行过滤和筛选。这就要求安全设备能够从功能层面具备虚拟设备的能力,即安全设备上的虚拟设备能够与用户的资源池相对应。
应用场景二:
随着云计算租户对服务能力需求的增加,同一云计算租户使用的服务器不再在同一资源池中,甚至不在同一地理位置,即同一云计算租户的流量将通过多个安全设备。
在这应用场景中,需要统一管理不同物理安全设备上的虚拟设备,并将多个虚拟设备绑定为逻辑设备。
应用场景三:
在PaaS或IaaS在这种情况下,除了云计算服务提供商继续监控安全外,云计算租户还需要监控其安全状态。也就是说,除了云服务提供商,安全设备的用户也有云计算租户。
在这种情况下,除了虚拟引擎的功能外,安全设备还必须为云计算租户建立账户,并指定一个或多个虚拟设备进行管理。
通过对上述不同场景的分析,我们可以看到不同的安全角色有自己的安全需求。在不同的服务模式和资源规模下,同一安全角色对安全产品的需求也有所不同。场景1和场景2分析了云计算中心网络边界对安全产品的需求,场景3分析了云计算租户和服务提供商的不同需求。这些需求可以通过增加传统安全产品的虚拟化能力来满足。
云计算的出现挑战了传统的网络安全概念。齐明星认为,我们必须积极迎接新的变化,积极思考,不断创新,护送用户的业务,为安全行业做出贡献。