• 注册
  • 开发商入口
当前位置:首页>云动态>正文
分享到:
云安全 - 相关资讯

安全即服务SaaS(Security as a Service)

文章来源:ECP时间:2013/7/25 16:33:23发布者:安全即服务关注:6558
标签:

安全即服务Security as a Service概述

    安全即服务Security as a Service(SaaS):安全即服务是将安全作为一种云服务(了解下什么是云服务)来交付的,而无须组织或企业自己购买相关硬件,从而节省信息技术部门的时间、人力和成本。 另附:安全即服务的英文缩写为SaaS,意为Security as a Service,非软件即服务SaaS(Software as a Service
    本文包括以下内容:
        安全即服务的必要性              安全即服务的优势
        安全即服务厂商                  安全即服务的风险
        安全即服务的选择建议            安全即服务的主要内容(公共防护、增值服务以及部署)
        安全即服务技术支撑

安全即服务的必要性

    有云计算就有云安全,有基础设施即服务、平台即服务、软件即服务不可置否的当然也有安全即服务。云计算可以说增加了信息安全问题的多样性,当然会包括以下方面:系统安全、数据安全、内容安全、应用安全、系统的可靠性、可用性和安全性。
    而解决这些安全问题需要到
    代码安全:编程安全、设计安全、架构安全。
    网络安全:CCIE、HCSE、H3CIE。
    数据库及中间件安全:ORACLE认证专家、DB2认证专家。
    管理流程:ITIL、ITSM、ISO27001。【相关阅读:IT服务管理流程
    行业标准:网上银行安全规范、二次系统安全防护、SG186等保标准。
    国家标准:等级保护、分级保护。


安全即服务的优势

提供专业安全技术知识
    信息安全是一个广泛的话题,不可能有人了解各个方面的各个细节。安全即服务可以帮助解决这个问题。提供基于云计算的安全的供应商主要侧重于信息安全的特定方面。企业没有足够的资金聘请相关安全专家或部署资源,而安全即服务让企业可以利用这些专家和资源的优势。这使得内部安全人员不用过多关注技术细节,而更多地关注如何战略性地管理企业的信息安全风险。

安全即服务人员力量增强
    信息安全是一种劳动密集型工作。我们可以自动化很多工作,但最终总是需要人来做出判断。我们需要从服务器、网络设备、防火墙和入侵检测系统收集日志,这些都要求工作人员完全集中注意力。安全即服务解决方案可以指派团队处理特定活动(例如监控日志),并在很多不同客户间分摊成本,为大家降低单位成本。

信息安全的新方法
    除了安全即服务的诸多好处外,一些新类型基于云计算的安全也具有一定的优势。除了传统的电子邮件和Web过滤安全即服务外,还有一些新服务值得企业关注,它们可以帮助解决安全行业一直在努力解决而未见成效的老问题。云计算模式的引入为我们提供了一种新方法,也许可以帮助我们解决这些难题。

将信息安全定位为业务推动力
    信息安全部门通常被认为是在企业活动中设置路障的部门,造成这种想法的原因有很多,而这实际上可能并不是信息部门的错误。安全即服务也可以帮助解决这个问题。它不能让企业其他部门了解安全需求,但它能确保更快的部署安全技术,而这可以减少既定的企业项目的影响。这是所有基于云计算的安全服务的一个关键优势,安全计划必须利用这一优势。

身份管理
    密码是众多老问题中的一个,它几乎与多用户计算同时出现。对于系统管理员和人力资源部门而言,管理员工账户并不是简单的工作。
    有几个可靠的安全即服务产品可以加快账户管理过程,并提供单点登录功能。它们可以与云端的系统以及内部网络中的系统配合使用。这些服务利用了开放标准协议(例如SAML),甚至允许结合内部微软Active Directory基础设施。通过这种混合方法,即内部和外部服务从同一来源进行身份验证,企业可以节省时间和资金,简化密码过程,同时还降低整体风险。

提供先进的安全工具
    我们都做过这样的事:开源技术并没有问题,甚至非常好用。但开源技术需要花费大量时间来在生产环境中安装和维护。例如,你花了多少小时来试图找到一个Snort规则,以让你的入侵检测系统启动?
    在另一个领域,部署安全即服务也十分有效:你的安全计划还可以通过云计算规模经济获得先进的安全工具。这些可用安全工具的质量和种类可以与其他企业内部部署的商业产品媲美,且花费没那么多。更重要的是,这些工具将由云服务供应商来维护,所以你有足够的时间来利用这些工具的优势。

网络层保护
    现在,网站正越来越多地受到网络犯罪分子和黑客组织的攻击。对这种针对云资产的攻击的最好防御其实是云本身。一些安全即服务解决方案通过利用大量带宽和智能协议路由,来提供针对DoS攻击的保护。这些服务还可以将Web服务器隐藏在其前端服务器后,防止遭受路过式攻击。其他基于云计算的安全包括PCI DSS、数据标记化、web应用防火墙以及隐藏DNS服务器。

虚拟机管理
    在单个硬件服务器运行多个虚拟服务器是信息技术领域最具颠覆性的改变。企业迅速部署私有云、公共云和混合云来取代挤满数据中心的物理硬件。然而,这项技术也可能给信息安全带来破坏性的影响,同时带来更多新的挑战。
    在公有云或私有云管理虚拟服务器的挑战之一是配置管理。配置管理包括通过基于企业政策的安全方法配置和维护服务器,这些方法有防火墙政策、文件系统权限和安装的服务。支持这一过程的技术已经充斥在数据中心中。基于云计算的配置管理系统需要能够跨多个云服务供应商和内部数据中心提供这种功能。
    用于配置管理的基于云计算的安全服务提供这种功能。它们用越来越多针对Windows服务器的功能提供对Linux的完整控制,它们还可以用于GoDaddy托管的服务器以及Linode托管的服务器。令人惊讶的是,这些新的基于云的配置管理系统更易于配置,并且与之前内部托管系统一样强大。这是值得安全专业人士关注的另一个基于云计算平台的安全服务,即使他们只有内部服务器资源需要管理。


安全即服务厂商

    如今可提供安全即服务的厂商越来越多。这里只列出了几家已可提供安全即服务的提供商。 
    Barracuda Networks(梭子鱼网络):梭子鱼Web应用防火墙提供安全即服务功能,确保“云”中的应用拥有像传统本地应用一样强大的安全性。
    Symantec:赛门铁克的O3云身份及访问控制是一个云平台,可提供访问控制、信息安全和信息管理服务。该服务可在任意Web应用中单点登录。 
    SymplifiedSymplified为企业提供云身份验证及连接管理工具,总部位于美国科罗拉多州的波尔多,现任首席执行官Eric Olde。为通过云端或者基础设施中的独有代理网关架构,企业可利用Symplified在各项设备上进行云身份管理、访问控制、设置员工单点登录、用户管理以及审计。
    CA Technology:CA CloudMinder提供一组托管的云安全服务,包括身份和访问管理(IAM)。CloudMinder服务基础设施由CA托管并监控。 
    McAfee:McAfee安全即服务可通过云提供完整的终端、电子邮件、Web和网络保护。McAfee安全即服务是Security Connected 框架(用于提供全面的安全和集成式管理)的一部分,它利用云的功能来帮助组织更快地实现保护,从而确保其业务的安全。
    Alert Logic公司Alert Logic提供互联网电脑蠕虫、木马程序、僵尸网络和其他IT安全威胁的防护。
    Panda Networks(熊猫网络)Panda Security Cloud Protection-这项服务可保护端点远离基于电子邮件和万维网的威胁。这是对熊猫公司(Panda)的平台所作的第三次重大改进,也就是说它很成熟。熊猫公司一开始就认识到,使用占用资源极少的客户代理才是出路,仅仅与提供商的云基础设施进行沟通,而所有繁重任务均由云基础设施来处理。这最大程度地减轻了用户系统的负担。熊猫公司的集体智慧(collective intelligence)网络每天可以分析数亿个可疑的恶意软件文件。
    Zscaler Networks:Zscaler Cloud Services--不像上述的其他厂商,Zscaler是作为云安全服务而重新开发的。该解决方案不需要在客户处安装硬件或软件,提供了集成的万维网和电子邮件安全。这家公司很关注性能,在全球建有40多个数据中心,其解决方案基于多租户架构而建。基于万维网的管理图形用户界面(GUI)有着Web 2.0的外观感觉,并自带灵活的仪表板。


安全即服务的风险

    对于缓解安全风险,世界上并不存在完美的工具,安全即服务也不例外。基于云计算的安全服务和所有其他云服务相同的安全风险一样,主要分为以下几个类别:

    1.云供应商对你的数据拥有一定程度的访问权限。云供应商必须谨慎处理安全相关的数据,因为这些数据的泄露可能导致多个数据泄露事故。更全面的云计算服务应使用加密技术,但这里仍然存在供应商密钥管理的问题。对于需要拥有最高数据保密性的应用的企业,最好考虑使用内部解决方案。

    2.企业应该进行详细的供应商尽职调查审计,以对待任何其他云服务供应商的方式来对待安全即服务。企业应该仔细选择供应商,并调查其财务状况,以确保他们不会突然人间蒸发。彻底检查服务供应商的信息安全状态,从SAS-70或者SSAE-16审计报告以及漏洞评估报告开始。企业需要完全信任云供应商,所以,这种审计是至关重要的。

    3.安全即服务供应商间输出服务的开放标准不太可能。使用这些服务的企业需要明白供应商间的任何切换将是完全手动的操作,包括在新供应商处重新建立防火墙规则、虚拟机配置和身份验证方法。

    4.安全即服务将是从互联网访问。对于内部系统,安全专业人员不需要考虑这个风险,在过去,将内部防火墙管理工具暴露在互联网从来都是不被接受的做法。这些服务器的身份验证系统必须提供强大的多因素身份验证,以确保适当的保护水平。你还需要考虑潜在的DoS攻击,如果没有强大的保护,攻击者可能会修改服务或者阻止企业管理或访问这些服务。

    5.对于基于云计算的安全服务,合规是另一个难以解决的问题。一个服务可以提供一流的审计报告,并满足所有尽职调查的技术要求,然而,却可能仍然不能满足合约或法律协议,例如HIPAA法案要求的商业伙伴合约(Business Associate Agreement)。这种情况正在改善,但企业必须了解安全即服务供应商将如何满足其特定的合规要求。
    很多信息安全专业人士对部署任何类型的外包服务都充满焦虑,这是安全即服务需要考虑的。目前的经济发展让很多类型的员工产生一定的抗拒,安全专业人士担心自己被云服务取代。然而,这些新服务可以让安全专业人士将时间和精力投入到更高水平的战略性安全项目中,而不是每天的日常维护工作。这将有助于安全计划实现更高的效率,而这实际上还可能增加工作安全性。


安全即服务的选择建议

   企业须充分了解安全即服务产品和传统产品的差异,这样企业才有资格评估云服务,并了解这些服务能否满足企业的需求。
    应让业务经理和用户参与云服务评估过程。如果用户发现安全即服务难于操控,那么企业要想获得其投入的全部回报的可能性就会减少。
    选择有良好信誉和强大研发能力的服务提供商,它们会始终处于应对安全威胁和安全需求的领先地位。企业不仅需要评估提供商及其收费水平,还要评估它所提供的工具的质量和可靠性。
    对待服务提供商要像对待合作伙伴一样,定期共享服务改进的信息。企业应配备专人保持与服务提供商的联系,并负责对其所提供服务的持续监管。
    确保企业的安全即服务提供商有合理的规划以避免宕机和数据泄露事件的发生。选择服务商时,能够保护自身运营能力的服务商应成为一条关键依据。


SaaS(安全即服务)的主要内容

公共安全防护(IaaS环境)

    IaaS的服务提供商需要对IaaS环境提供一些基础的公共安全保障,服务商需要对用户的数据安全或应用安全提供一定程度的安全保证,甚至签署SLA协议。这些公共的安全防护包括以下几个方面:

    基础网络安全保障

    对于云计算服务商而言,在其将网络、存储、计算和带宽等资源统一打包租给用户时,这些基础物理设施的安全防护是需要重点保证的,也应该是SLA内容的一部分。包括基本的物理环境安全防护;交换机设备安全特性的开启以防止诸如ARP攻击和MAC地址攻击等L2层网络安全攻击;云服务商互联网出口的基础安全防护以及针对DDoS的攻击防护,特别是对于DDoS攻击服务,单纯的基于用户进行防护并不能起到很好的效果,云计算服务商需要将这些危害到基础设施基础安全的风险统一考虑。

    服务器虚拟化的安全

    在服务器虚拟化的过程中,单台的物理服务器本身可能被虚化成多个虚拟机并提供给多个不同的租户,这些虚拟机可以认为是共享的基础设施,部分组件如CPU、缓存等对于该系统的使用者而言并不是完全隔离的。此时任何一个租户的虚拟机漏洞被黑客利用将导致整个物理服务器的全部虚拟机不能正常工作,同时,针对全部虚拟机的管理平台,一旦管理软件的安全漏洞被利用将可能导致整个云计算的服务器资源被攻击从而造成云计算环境的瘫痪。针对这类型公用基础设施的安全需要部署防护。

    用户自助服务管理平台的访问安全

    用户需要登录到运营商的云服务管理平台,进行自身的管理操作,如设置基础的安全防护策略,针对关键服务器的访问权限控制,用户身份认证加密协议配置,虚拟机的资源配置、管理员权限配置及日志配置的自动化。这些部署流程应该被迁移到自服务模型并为用户所利用。在这种情况下,云计算服务商本身需要对租户的这种自服务操作进行用户身份认证确认,用户策略的保密、不同租户之间的配置安全隔离以及用户关键安全事件的日志记录以便后续可以进行问题跟踪溯源。

    内部人员的安全培训和行为审计

    为了保证用户的数据安全,云服务商必须要对用户的数据安全进行相应的SLA保证。同时必须在技术和管理两个角度对内部数据操作人员进行安全培训。一方面通过制定严格的安全制度要求内部人员恪守用户数据安全,另一方面,需要通过技术手段,将内部人员的安全操作日志、安全事件日志、修改管理日志、用户授权访问日志等进行持续的安全监控,确保安全事件发生后可以做到有迹可寻。

安全即服务的增值服务(IaaS环境下)

    为了差异化用户的类型,服务商还可以根据用户的需求,将网络安全作为一种增值服务出租给用户,这些安全增值服务包含以下几个方面:

    防火墙增值服务

    用户在租用计算资源后,相当于自身具备了一台相对独立的网络安全存储计算环境,在这种情况下,面对自身的应用系统,需要进行安全区域的设置,并配置适当的安全域策略来规范对应用系统的访问和禁止;与此同时,服务商需要为每个租户提供网络安全事件的日志信息,以及经过分析归并的安全事件分析报表,便于租户对自身的网络、计算及存储资源的安全状况进行评估,在必要的情况下可以给用户的策略调整提供依据和支撑。

    安全VPN服务

    用户在租用云计算服务时,为了保证数据的访问安全,一般情况下都会对访问数据进行VPN加密,同时针对用户访问进行严格的身份认证和权限控制。一般来说用户可以根据自身的情况进行VPN模式的选择,如果主要是固定分支访问可以选择IPSec VPN的加密方式,如果是移动接入用户为主可以选择SSL VPN的接入方式,或者是两种方式的综合。服务商可以通过VPN增值服务来满足用户差异化的VPN访问要求。

    LB负载均衡增值服务

    随着企业关键应用逐渐向Web化转移,企业所属服务器的对外Web应用正在不断增加,单业务流量带宽也在不断增加,此时,单个的虚拟机或服务器本身提供的性能不足,需要向服务商租用多台服务器或者虚拟机实现业务承载。在这种情况下,为了保证各服务器的均衡工作,租户可以有选择地使用服务商提供的负载均衡业务。

    IPS入侵防御增值服务

    在IaaS环境中也存在很多的安全漏洞,用户在租用云服务商的计算资源并部署相关应用系统时,需要针对自身的应用系统的安全风险进行适当的漏洞防御;不同的租户有各自的应用系统环境,也面对差异化的安全漏洞风险,云服务商可以提供独立的安全资源池,用户可以根据自身业务系统的安全级别合理选择是否租用该漏洞防护服务。

安全即服务的部署模型(IaaS环境)

    在安全即服务的模型指导下,不同的租户可以选择适合自身需要的云服务模型,以满足差异化的需求;同时不同的用户对于同一种服务本身也会存在不同的技术要求,因此在服务模型设计时,需要从纵向和横向两个维度进行考虑为客户设计差异化的技术及方案:
    从纵向维度来看,云服务商可以根据不同的用户对于单个增值服务的使用粒度进行划分。如针对防火墙服务,对于不同的用户级别,可以通过吞吐量、并发连接数、安全策略数等易测量指标进行划分,比如可以定义“50M防火墙吞吐量带宽+1万并发连接数+500条安全策略”作为一个基础性能包进行资费定义;针对IPS服务可以从特征库的类别进行划分,如只开启数据库类特征库、操作系统类特征库或者Web应用特征库等,用户可以根据自身应用系统的情况自行选择;针对LB负载均衡业务,则可以基于需要调度的流量负载、用户所拥有的最大虚服务个数、最大访问控制策略数等进行组合定义。
    从横向维度来看,云服务商可以根据增值安全服务的类型,在默认支持IPSec VPN接入的情况下,将FW、IPS或者LB等服务作为划分用户等级的元素,通过单类型服务或多种服务组合,设计出不同的套餐种类:如对普通客户默认不提供任何安全增值服务,对铜牌客户默认提供防火墙增值服务,对银牌客户可以提供防火墙加IPS入侵防护的增值服务,而对金牌客户则可以提供包括防火墙、IPS入侵防御、LB负载均衡以及SSL VPN的全套服务,这种划分方式比较简单直接,用户可以根据自身对安全的需求进行选择。
    在安全即服务的模型中,通过对安全作为服务进行精确的、可测量的划分,才能实现不同等级和需求的用户可以根据自身需要基于自助服务平台灵活选择。在实际的云计算环境部署过程中,多种安全服务将作为独立的资源池部署在云计算网络的汇聚或核心节点(如图2左上部分所示),针对选择了安全服务的租户,将通过特定的引流策略或路由配置,引导这部分用户流量流经安全资源池,保证用户流量得到安全检查。


安全即服务的技术支撑

    安全即服务(SaaS)的模型中,要求安全设备及软件具备以下的技术支撑

虚拟化的技术支持

    安全即服务的模型下,不同的租户可能选择差异化的安全模型,此时需要安全资源池的设备可以通过虚拟化技术提供基于用户的专有安全服务。如针对防火墙安全业务的租户,为了将不同租户的流量在传输过程中进行安全隔离,需要在防火墙上使能虚拟防火墙技术,不同的租户流量对应到不同的虚拟防火墙实例,此时,每个租户可以在自身的虚拟防火墙实例中配置属于自己的访问控制安全策略,同时要求设备记录所有安全事件的日志,创建基于用户的安全事件分析报告,一方面可以为用户的网络安全策略调整提供技术支撑,另一方面一旦发生安全事件,可以基于这些日志进行事后的安全审计并追踪问题发生的原因。其它的安全服务类型如IPS和LB负载均衡等也需要通过虚拟化技术将流量引入到设备并进行特定的业务处理。

管理平台的技术支持

    云计算服务商需要建设统一的云管理平台,实现对整个云计算基础设施资源的管理和监控。在安全即服务的模型要求下,统一的云管理平台应在安全管理功能的完整性以及接口API的开放性两个方面有所考虑。前者要求管理平台需要切实承担起对全部安全资源池设备的集中设备管理、安全策略部署以及整网安全事件的监控分析和基于用户的报表展示;后者的考虑是为了适配云计算环境中可能存在的多种安全设备类型或多厂商设备,也需要在API接口的开放性和统一性上进行规范和要求,以实现对下挂安全资源池设备的配置管理和日志格式转换等需求。也只有这样才能实现设备和管理平台的无缝对接,提升云管理平台的自动化管理能力。


    相关文章:计算机安全保护