【IT168廠商動(dòng)態(tài)】1 云計(jì)算IaaS的發(fā)展

　　IaaS作為基礎(chǔ)設(shè)施級(jí)別的云計(jì)算服務(wù)，其將網(wǎng)絡(luò)、存儲(chǔ)、計(jì)算等資源進(jìn)行虛擬化等處理，能夠?yàn)槊總€(gè)用戶提供相對(duì)獨(dú)立的服務(wù)器計(jì)算資源、存儲(chǔ)資源以及在承載網(wǎng)上設(shè)定專有的數(shù)據(jù)轉(zhuǎn)發(fā)通道，這種云計(jì)算的模式已經(jīng)得到IT業(yè)界的廣泛認(rèn)可。

　　IBM、惠普、亞馬遜、谷歌等IT巨頭，憑借強(qiáng)大的IT基礎(chǔ)設(shè)施硬件能力和IaaS云計(jì)算軟件平臺(tái)總體解決方案獨(dú)占鰲頭;而國(guó)內(nèi)部分傳統(tǒng)的IDC服務(wù)商或數(shù)據(jù)中心外包服務(wù)廠商，憑借其對(duì)IDC業(yè)務(wù)運(yùn)營(yíng)的經(jīng)驗(yàn)也逐漸開(kāi)始切入到IaaS云計(jì)算市場(chǎng);一些大型企業(yè)尤其是互聯(lián)網(wǎng)企業(yè)利用自身對(duì)互聯(lián)網(wǎng)運(yùn)營(yíng)的理解和應(yīng)用系統(tǒng)資源也積極切入云計(jì)算市場(chǎng)，典型如阿里云、盛大云和騰訊云等;此外積極參與IaaS云計(jì)算服務(wù)的還包括國(guó)內(nèi)多家運(yùn)營(yíng)商以及部分地方政府等。尤其是國(guó)內(nèi)的大型運(yùn)營(yíng)商，憑借其在基礎(chǔ)網(wǎng)絡(luò)設(shè)施管道、互聯(lián)網(wǎng)出口寬帶資源、大量中小企業(yè)托管客戶資源平臺(tái)的優(yōu)勢(shì)以及強(qiáng)大的運(yùn)維支撐能力，已經(jīng)成為IaaS云計(jì)算建設(shè)的重要力量。如中國(guó)電信“天翼云”已經(jīng)推出云存儲(chǔ)、云主機(jī)等業(yè)務(wù)，中國(guó)聯(lián)通也正在推進(jìn)虛擬數(shù)據(jù)中心VDC的商用并為用戶提供云存儲(chǔ)、云主機(jī)等IaaS服務(wù)，這些運(yùn)營(yíng)商所具備的大型IDC的運(yùn)營(yíng)能力、強(qiáng)大的軟件開(kāi)發(fā)能力和整合硬件平臺(tái)的能力以及互聯(lián)網(wǎng)的運(yùn)營(yíng)經(jīng)驗(yàn)將有助于其云計(jì)算IaaS服務(wù)的推廣。

　　在IaaS環(huán)境下，云計(jì)算租戶無(wú)須關(guān)注基礎(chǔ)設(shè)施的建設(shè)和維護(hù)，只需要結(jié)合自身的業(yè)務(wù)向服務(wù)商提交相應(yīng)的存儲(chǔ)計(jì)算網(wǎng)絡(luò)資源申請(qǐng)，就可以在服務(wù)商提供的存儲(chǔ)計(jì)算環(huán)境上，基于自身業(yè)務(wù)自行選擇適合自身的操作系統(tǒng)和安裝各種應(yīng)用程序，這對(duì)于很多類型的企業(yè)或者企業(yè)中的部分業(yè)務(wù)具備很好的吸引力。尤其是對(duì)一些業(yè)務(wù)系統(tǒng)訪問(wèn)流量具有周期性特點(diǎn)的企業(yè)，或者是對(duì)部分需要較大計(jì)算能力的用戶，IaaS的云計(jì)算服務(wù)可以幫助企業(yè)以最小的代價(jià)滿足自身需要。

　　2 SaaS(安全即服務(wù))的主要內(nèi)容

　　2.1 IaaS環(huán)境下的公共安全防護(hù)

　　IaaS的服務(wù)提供商需要對(duì)IaaS環(huán)境提供一些基礎(chǔ)的公共安全保障，服務(wù)商需要對(duì)用戶的數(shù)據(jù)安全或應(yīng)用安全提供一定程度的安全保證，甚至簽署SLA協(xié)議。這些公共的安全防護(hù)包括以下幾個(gè)方面：

　　基礎(chǔ)網(wǎng)絡(luò)安全保障

　　對(duì)于云計(jì)算服務(wù)商而言，在其將網(wǎng)絡(luò)、存儲(chǔ)、計(jì)算和帶寬等資源統(tǒng)一打包租給用戶時(shí)，這些基礎(chǔ)物理設(shè)施的安全防護(hù)是需要重點(diǎn)保證的，也應(yīng)該是SLA內(nèi)容的一部分。包括基本的物理環(huán)境安全防護(hù);交換機(jī)設(shè)備安全特性的開(kāi)啟以防止諸如ARP攻擊和MAC地址攻擊等L2層網(wǎng)絡(luò)安全攻擊;云服務(wù)商互聯(lián)網(wǎng)出口的基礎(chǔ)安全防護(hù)以及針對(duì)DDoS的攻擊防護(hù)，特別是對(duì)于DDoS攻擊服務(wù)，單純的基于用戶進(jìn)行防護(hù)并不能起到很好的效果，云計(jì)算服務(wù)商需要將這些危害到基礎(chǔ)設(shè)施基礎(chǔ)安全的風(fēng)險(xiǎn)統(tǒng)一考慮。

　　用戶自助服務(wù)管理平臺(tái)的訪問(wèn)安全

　　用戶需要登錄到運(yùn)營(yíng)商的云服務(wù)管理平臺(tái)，進(jìn)行自身的管理操作，如設(shè)置基礎(chǔ)的安全防護(hù)策略，針對(duì)關(guān)鍵服務(wù)器的訪問(wèn)權(quán)限控制，用戶身份認(rèn)證加密協(xié)議配置，虛擬機(jī)的資源配置、管理員權(quán)限配置及日志配置的自動(dòng)化。這些部署流程應(yīng)該被遷移到自服務(wù)模型并為用戶所利用。在這種情況下，云計(jì)算服務(wù)商本身需要對(duì)租戶的這種自服務(wù)操作進(jìn)行用戶身份認(rèn)證確認(rèn)，用戶策略的保密、不同租戶之間的配置安全隔離以及用戶關(guān)鍵安全事件的日志記錄以便后續(xù)可以進(jìn)行問(wèn)題跟蹤溯源。

　　服務(wù)器虛擬化的安全

　　在服務(wù)器虛擬化的過(guò)程中，單臺(tái)的物理服務(wù)器本身可能被虛化成多個(gè)虛擬機(jī)并提供給多個(gè)不同的租戶，這些虛擬機(jī)可以認(rèn)為是共享的基礎(chǔ)設(shè)施，部分組件如CPU、緩存等對(duì)于該系統(tǒng)的使用者而言并不是完全隔離的。此時(shí)任何一個(gè)租戶的虛擬機(jī)漏洞被黑客利用將導(dǎo)致整個(gè)物理服務(wù)器的全部虛擬機(jī)不能正常工作，同時(shí)，針對(duì)全部虛擬機(jī)的管理平臺(tái)，一旦管理軟件的安全漏洞被利用將可能導(dǎo)致整個(gè)云計(jì)算的服務(wù)器資源被攻擊從而造成云計(jì)算環(huán)境的癱瘓。針對(duì)這類型公用基礎(chǔ)設(shè)施的安全需要部署防護(hù)。

　　內(nèi)部人員的安全培訓(xùn)和行為審計(jì)

　　為了保證用戶的數(shù)據(jù)安全，云服務(wù)商必須要對(duì)用戶的數(shù)據(jù)安全進(jìn)行相應(yīng)的SLA保證。同時(shí)必須在技術(shù)和管理兩個(gè)角度對(duì)內(nèi)部數(shù)據(jù)操作人員進(jìn)行安全培訓(xùn)。一方面通過(guò)制定嚴(yán)格的安全制度要求內(nèi)部人員恪守用戶數(shù)據(jù)安全，另一方面，需要通過(guò)技術(shù)手段，將內(nèi)部人員的安全操作日志、安全事件日志、修改管理日志、用戶授權(quán)訪問(wèn)日志等進(jìn)行持續(xù)的安全監(jiān)控，確保安全事件發(fā)生后可以做到有跡可尋。

　　2.2 IaaS環(huán)境下SaaS(安全即服務(wù))的增值服務(wù)

　　為了差異化用戶的類型，服務(wù)商還可以根據(jù)用戶的需求，將網(wǎng)絡(luò)安全作為一種增值服務(wù)出租給用戶，這些安全增值服務(wù)包含以下幾個(gè)方面：

　　防火墻增值服務(wù)

　　用戶在租用計(jì)算資源后，相當(dāng)于自身具備了一臺(tái)相對(duì)獨(dú)立的網(wǎng)絡(luò)安全存儲(chǔ)計(jì)算環(huán)境，在這種情況下，面對(duì)自身的應(yīng)用系統(tǒng)，需要進(jìn)行安全區(qū)域的設(shè)置，并配置適當(dāng)?shù)陌踩虿呗詠?lái)規(guī)范對(duì)應(yīng)用系統(tǒng)的訪問(wèn)和禁止;與此同時(shí)，服務(wù)商需要為每個(gè)租戶提供網(wǎng)絡(luò)安全事件的日志信息，以及經(jīng)過(guò)分析歸并的安全事件分析報(bào)表，便于租戶對(duì)自身的網(wǎng)絡(luò)、計(jì)算及存儲(chǔ)資源的安全狀況進(jìn)行評(píng)估，在必要的情況下可以給用戶的策略調(diào)整提供依據(jù)和支撐。

　　IPS入侵防御增值服務(wù)

　　在IaaS環(huán)境中也存在很多的安全漏洞，用戶在租用云服務(wù)商的計(jì)算資源并部署相關(guān)應(yīng)用系統(tǒng)時(shí)，需要針對(duì)自身的應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行適當(dāng)?shù)穆┒捶烙?不同的租戶有各自的應(yīng)用系統(tǒng)環(huán)境，也面對(duì)差異化的安全漏洞風(fēng)險(xiǎn)，云服務(wù)商可以提供獨(dú)立的安全資源池，用戶可以根據(jù)自身業(yè)務(wù)系統(tǒng)的安全級(jí)別合理選擇是否租用該漏洞防護(hù)服務(wù)。

　　LB負(fù)載均衡增值服務(wù)

　　隨著企業(yè)關(guān)鍵應(yīng)用逐漸向Web化轉(zhuǎn)移，企業(yè)所屬服務(wù)器的對(duì)外Web應(yīng)用正在不斷增加，單業(yè)務(wù)流量帶寬也在不斷增加，此時(shí)，單個(gè)的虛擬機(jī)或服務(wù)器本身提供的性能不足，需要向服務(wù)商租用多臺(tái)服務(wù)器或者虛擬機(jī)實(shí)現(xiàn)業(yè)務(wù)承載。在這種情況下，為了保證各服務(wù)器的均衡工作，租戶可以有選擇地使用服務(wù)商提供的負(fù)載均衡業(yè)務(wù)。

　　安全VPN服務(wù)

　　用戶在租用云計(jì)算服務(wù)時(shí)，為了保證數(shù)據(jù)的訪問(wèn)安全，一般情況下都會(huì)對(duì)訪問(wèn)數(shù)據(jù)進(jìn)行VPN加密，同時(shí)針對(duì)用戶訪問(wèn)進(jìn)行嚴(yán)格的身份認(rèn)證和權(quán)限控制。一般來(lái)說(shuō)用戶可以根據(jù)自身的情況進(jìn)行VPN模式的選擇，如果主要是固定分支訪問(wèn)可以選擇IPSec VPN的加密方式，如果是移動(dòng)接入用戶為主可以選擇SSL VPN的接入方式，或者是兩種方式的綜合。服務(wù)商可以通過(guò)VPN增值服務(wù)來(lái)滿足用戶差異化的VPN訪問(wèn)要求。

　　2.3 IaaS環(huán)境下SaaS(安全即服務(wù))的部署模型

　　在安全即服務(wù)的模型指導(dǎo)下，不同的租戶可以選擇適合自身需要的云服務(wù)模型，以滿足差異化的需求;同時(shí)不同的用戶對(duì)于同一種服務(wù)本身也會(huì)存在不同的技術(shù)要求，因此在服務(wù)模型設(shè)計(jì)時(shí)，需要從橫向和縱向兩個(gè)維度進(jìn)行考慮為客戶設(shè)計(jì)差異化的技術(shù)及方案：

　　從橫向維度來(lái)看，云服務(wù)商可以根據(jù)增值安全服務(wù)的類型，在默認(rèn)支持IPSec VPN接入的情況下，將FW、IPS或者LB等服務(wù)作為劃分用戶等級(jí)的元素，通過(guò)單類型服務(wù)或多種服務(wù)組合，設(shè)計(jì)出不同的套餐種類：如對(duì)普通客戶默認(rèn)不提供任何安全增值服務(wù)，對(duì)銅牌客戶默認(rèn)提供防火墻增值服務(wù)，對(duì)銀牌客戶可以提供防火墻加IPS入侵防護(hù)的增值服務(wù)，而對(duì)金牌客戶則可以提供包括防火墻、IPS入侵防御、LB負(fù)載均衡以及SSL VPN的全套服務(wù)，這種劃分方式比較簡(jiǎn)單直接，用戶可以根據(jù)自身對(duì)安全的需求進(jìn)行選擇(如圖1右側(cè)圖所示)。

　　從縱向維度來(lái)看，云服務(wù)商可以根據(jù)不同的用戶對(duì)于單個(gè)增值服務(wù)的使用粒度進(jìn)行劃分。如針對(duì)防火墻服務(wù)，對(duì)于不同的用戶級(jí)別，可以通過(guò)吞吐量、并發(fā)連接數(shù)、安全策略數(shù)等易測(cè)量指標(biāo)進(jìn)行劃分，比如可以定義“50M防火墻吞吐量帶寬+1萬(wàn)并發(fā)連接數(shù)+500條安全策略”作為一個(gè)基礎(chǔ)性能包進(jìn)行資費(fèi)定義;針對(duì)IPS服務(wù)可以從特征庫(kù)的類別進(jìn)行劃分，如只開(kāi)啟數(shù)據(jù)庫(kù)類特征庫(kù)、操作系統(tǒng)類特征庫(kù)或者Web應(yīng)用特征庫(kù)等，用戶可以根據(jù)自身應(yīng)用系統(tǒng)的情況自行選擇;針對(duì)LB負(fù)載均衡業(yè)務(wù)，則可以基于需要調(diào)度的流量負(fù)載、用戶所擁有的最大虛服務(wù)個(gè)數(shù)、最大訪問(wèn)控制策略數(shù)等進(jìn)行組合定義(如圖1左側(cè)圖所示)。

圖1 差異化的SaaS(安全即服務(wù))模型定義示意圖

　　在SaaS(安全即服務(wù))的模型中，通過(guò)對(duì)安全作為服務(wù)進(jìn)行精確的、可測(cè)量的劃分，才能實(shí)現(xiàn)不同等級(jí)和需求的用戶可以根據(jù)自身需要基于自助服務(wù)平臺(tái)靈活選擇。在實(shí)際的云計(jì)算環(huán)境部署過(guò)程中，多種安全服務(wù)將作為獨(dú)立的資源池部署在云計(jì)算網(wǎng)絡(luò)的匯聚或核心節(jié)點(diǎn)(如圖2左上部分所示)，針對(duì)選擇了安全服務(wù)的租戶，將通過(guò)特定的引流策略或路由配置，引導(dǎo)這部分用戶流量流經(jīng)安全資源池，保證用戶流量得到安全檢查。

圖2 SaaS(安全即服務(wù))在云計(jì)算環(huán)境中心的部署

　　3 SaaS(安全即服務(wù))的技術(shù)支撐

　　在SaaS(安全即服務(wù))的模型中，要求安全設(shè)備及軟件具備以下的技術(shù)支撐：

　　虛擬化的技術(shù)支持

　　在SaaS(安全即服務(wù))的模型下，不同的租戶可能選擇差異化的安全模型，此時(shí)需要安全資源池的設(shè)備可以通過(guò)虛擬化技術(shù)提供基于用戶的專有安全服務(wù)。如針對(duì)防火墻安全業(yè)務(wù)的租戶，為了將不同租戶的流量在傳輸過(guò)程中進(jìn)行安全隔離，需要在防火墻上使能虛擬防火墻技術(shù)，不同的租戶流量對(duì)應(yīng)到不同的虛擬防火墻實(shí)例，此時(shí)，每個(gè)租戶可以在自身的虛擬防火墻實(shí)例中配置屬于自己的訪問(wèn)控制安全策略，同時(shí)要求設(shè)備記錄所有安全事件的日志，創(chuàng)建基于用戶的安全事件分析報(bào)告，一方面可以為用戶的網(wǎng)絡(luò)安全策略調(diào)整提供技術(shù)支撐，另一方面一旦發(fā)生安全事件，可以基于這些日志進(jìn)行事后的安全審計(jì)并追蹤問(wèn)題發(fā)生的原因。其它的安全服務(wù)類型如IPS和LB負(fù)載均衡等也需要通過(guò)虛擬化技術(shù)將流量引入到設(shè)備并進(jìn)行特定的業(yè)務(wù)處理。

　　管理平臺(tái)的技術(shù)支持

　　云計(jì)算服務(wù)商需要建設(shè)統(tǒng)一的云管理平臺(tái)，實(shí)現(xiàn)對(duì)整個(gè)云計(jì)算基礎(chǔ)設(shè)施資源的管理和監(jiān)控。在SaaS(安全即服務(wù))的模型要求下，統(tǒng)一的云管理平臺(tái)應(yīng)在安全管理功能的完整性以及接口API的開(kāi)放性兩個(gè)方面有所考慮。前者要求管理平臺(tái)需要切實(shí)承擔(dān)起對(duì)全部安全資源池設(shè)備的集中設(shè)備管理、安全策略部署以及整網(wǎng)安全事件的監(jiān)控分析和基于用戶的報(bào)表展示;后者的考慮是為了適配云計(jì)算環(huán)境中可能存在的多種安全設(shè)備類型或多廠商設(shè)備，也需要在API接口的開(kāi)放性和統(tǒng)一性上進(jìn)行規(guī)范和要求，以實(shí)現(xiàn)對(duì)下掛安全資源池設(shè)備的配置管理和日志格式轉(zhuǎn)換等需求。也只有這樣才能實(shí)現(xiàn)設(shè)備和管理平臺(tái)的無(wú)縫對(duì)接，提升云管理平臺(tái)的自動(dòng)化管理能力。

　　結(jié)束語(yǔ)

　　現(xiàn)階段的云計(jì)算IaaS模式在國(guó)內(nèi)還處在發(fā)展的初期，SaaS(安全即服務(wù))的模型在安全服務(wù)的類型提供、安全資源的可測(cè)量性、以及安全運(yùn)維管理能力基線化方面仍需進(jìn)一步的探索和實(shí)踐，才能形成完善的IaaS云計(jì)算解決方案，更好的滿足用戶的需求。