傳統(tǒng)的IT建設(shè)，用戶(hù)需要自己采購(gòu)硬件設(shè)備、操作系統(tǒng)，購(gòu)買(mǎi)或開(kāi)發(fā)自己的業(yè)務(wù)系統(tǒng)，并投入大量的維護(hù)成本?？紤]到業(yè)務(wù)的擴(kuò)展和瞬時(shí)的使用高峰，每個(gè)系統(tǒng)的計(jì)算、存儲(chǔ)能力必須有一定的冗余，這就意味著大部分時(shí)候冗余的資源都被浪費(fèi)。然而當(dāng)業(yè)務(wù)爆發(fā)式增長(zhǎng)時(shí)， IT設(shè)施由由于建設(shè)周期的制約，又無(wú)法立即滿(mǎn)足需要。云計(jì)算的出現(xiàn)，將徹底解決這些問(wèn)題。

云計(jì)算通過(guò)網(wǎng)絡(luò)將大量的計(jì)算和存儲(chǔ)資源連接起來(lái)，進(jìn)行統(tǒng)一的管理和調(diào)度，按需提供服務(wù)。使用者只需要通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)就可以來(lái)獲取存儲(chǔ)空間、計(jì)算能力或應(yīng)用系統(tǒng)。

根據(jù)NIST的定義，云計(jì)算的基本特征有：按需自服務(wù)、廣泛的網(wǎng)絡(luò)接入、資源池、快速?gòu)椥?、可測(cè)量的服務(wù)。三種服務(wù)模式，分別為基礎(chǔ)設(shè)施即服務(wù)（IaaS），平臺(tái)即服務(wù)（PaaS）和軟件即服務(wù)（SaaS）。

相對(duì)于傳統(tǒng)的IT建設(shè)模式，業(yè)務(wù)所有者無(wú)需再搭建自己的IT系統(tǒng)，只需要成為云計(jì)算的租戶(hù)，就可獲得靈活的擴(kuò)展性，還能免除了繁瑣的系統(tǒng)維護(hù)工作。由于這種模式下只需要為已經(jīng)使用的資源付費(fèi)，因而極大提高了IT建設(shè)的投資回報(bào)率。

然而云計(jì)算卻對(duì)網(wǎng)絡(luò)安全提出了嚴(yán)重的挑戰(zhàn)。從云計(jì)算租戶(hù)的角度來(lái)看，網(wǎng)絡(luò)、設(shè)備、應(yīng)用、數(shù)據(jù)都不在自己的控制之下，甚至都不知道具體的物理位置，如何保障數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性顯然就成了最大的挑戰(zhàn)。以至于思科CEO錢(qián)伯斯驚呼“這將是一個(gè)安全噩夢(mèng)”。

從云提供商的角度來(lái)看，傳統(tǒng)模式下的網(wǎng)絡(luò)安全需求并沒(méi)有什么變化，無(wú)論從信息安全的保密性、完整性、可用性，還是根據(jù)網(wǎng)絡(luò)層次劃分的從物理層到應(yīng)用層安全，仍然是需要解決的問(wèn)題。傳統(tǒng)模式下的網(wǎng)絡(luò)安全解決方案中，最重要的一點(diǎn)就是建立網(wǎng)絡(luò)邊界，區(qū)分信任域和非信任域，然后在網(wǎng)絡(luò)邊界進(jìn)行訪(fǎng)問(wèn)控制和安全防御。而云計(jì)算資源池與Internet之間仍然是有邊界的，在資源池內(nèi)部由于管理的需要，也會(huì)有不同域的劃分，從而形成內(nèi)部邊界。這意味著傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品能繼續(xù)發(fā)揮其作用。

那么是否傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品是否就能充分滿(mǎn)足云計(jì)算環(huán)境下的安全需求呢？

傳統(tǒng)IT建設(shè)中業(yè)務(wù)所有者就是平臺(tái)所有者、從而也是安全責(zé)任人?！队?jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》第十條也明確規(guī)定各單位負(fù)責(zé)本網(wǎng)絡(luò)的安全責(zé)任，確立“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的原則。云計(jì)算及虛擬化的應(yīng)用，業(yè)務(wù)所有者僅僅只是云計(jì)算的租戶(hù)，并不是平臺(tái)所有者，從而改變了這種安全責(zé)任關(guān)系。在不同的服務(wù)模式下，業(yè)務(wù)所有者的安全責(zé)任也有所不同：在SaaS模式，業(yè)務(wù)所有者基本上依賴(lài)服務(wù)提供著來(lái)保證網(wǎng)絡(luò)安全；而PaaS或IaaS模式，業(yè)務(wù)所有需要對(duì)安全進(jìn)行監(jiān)控和管理，但把物理安全等留給云計(jì)算服務(wù)提供商。

這樣的安全責(zé)任變化勢(shì)必要求云計(jì)算服務(wù)提供商和云租戶(hù)需要不同的安全視圖。對(duì)于云租戶(hù)來(lái)說(shuō)只需要關(guān)心自己的數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性，不論實(shí)際的物理服務(wù)器是處在地球的哪個(gè)角落。而對(duì)于云服務(wù)提供商來(lái)說(shuō)，既需要關(guān)注每臺(tái)服務(wù)器、每個(gè)網(wǎng)絡(luò)的安全，也需要關(guān)注重點(diǎn)租戶(hù)的安全狀態(tài)。

網(wǎng)絡(luò)安全產(chǎn)品如何滿(mǎn)足這些靈活的管理需求？答案就是虛擬化。安全產(chǎn)品的虛擬化將為云服務(wù)提供商和云用戶(hù)提供靈活的、可擴(kuò)展的安全防護(hù)。

我們來(lái)進(jìn)一步分析不同的應(yīng)用場(chǎng)景下傳統(tǒng)安全產(chǎn)品的虛擬化需求。

應(yīng)用場(chǎng)景一：

在SaaS的情況下，云計(jì)算服務(wù)提供商為租戶(hù)建立了資源池，通過(guò)物理線(xiàn)路連接到Internet上。云計(jì)算服務(wù)提供商需要在Internet的出入口進(jìn)行安全監(jiān)控和管理，因此部署了FW/UTM、IDS、審計(jì)等安全設(shè)備，這些設(shè)備能監(jiān)控資源池中所有的服務(wù)器和設(shè)備對(duì)外的流量。

由于統(tǒng)一資源池流量都經(jīng)過(guò)同一臺(tái)安全設(shè)備，而不同的租戶(hù)可能對(duì)安全的要求并不相同，這就意味著要求安全設(shè)備能為不同的租戶(hù)提供不同的安全策略，而區(qū)分不同的租戶(hù)不能僅僅依靠物理端口，而必須使用IP地址、Vlan等標(biāo)識(shí)，而產(chǎn)生的日志還需要根據(jù)不同的用戶(hù)進(jìn)行過(guò)濾和篩選。這就要求安全設(shè)備從功能層面能具備虛擬設(shè)備的能力，即可以把安全設(shè)備上的虛擬設(shè)備與用戶(hù)的資源池對(duì)應(yīng)起來(lái)。

應(yīng)用場(chǎng)景二：

隨著云計(jì)算租戶(hù)對(duì)服務(wù)能力需求的增加，同一個(gè)云計(jì)算租戶(hù)使用的服務(wù)器已經(jīng)不在同一個(gè)資源池中，甚至不在同一個(gè)地理位置，即同一個(gè)云計(jì)算租戶(hù)的流量會(huì)經(jīng)過(guò)多個(gè)安全設(shè)備。

在這個(gè)應(yīng)用場(chǎng)景中，就要求能對(duì)不同物理安全設(shè)備上的虛擬設(shè)備進(jìn)行統(tǒng)一管理，并能把多個(gè)虛擬設(shè)備綁定為一個(gè)邏輯設(shè)備。

應(yīng)用場(chǎng)景三：

在PaaS或IaaS情況下，除了云計(jì)算服務(wù)提供商對(duì)安全繼續(xù)監(jiān)控外，云計(jì)算租戶(hù)也需要對(duì)自己的安全狀態(tài)進(jìn)行監(jiān)控。也就是說(shuō)安全設(shè)備的使用者除了云服務(wù)提供商外，還有云計(jì)算租戶(hù)。

這種情況下，安全設(shè)備上除了具備有虛擬引擎的功能外，還必須可以為云計(jì)算租戶(hù)來(lái)建立賬戶(hù)，并指定一個(gè)或多個(gè)虛擬設(shè)備進(jìn)行管理。

通過(guò)對(duì)以上不同場(chǎng)景的分析可以看出，不同的安全角色有自己的安全需求，在不同的服務(wù)模式下、不同的資源規(guī)模情況下，同一個(gè)安全角色對(duì)安全產(chǎn)品的需求也不同。其中場(chǎng)景一和場(chǎng)景二分析了云計(jì)算中心的網(wǎng)絡(luò)邊界上對(duì)安全產(chǎn)品的需求，場(chǎng)景三分析了云計(jì)算租戶(hù)和服務(wù)提供商的不同需求。這些需求可以通過(guò)傳統(tǒng)安全產(chǎn)品增加虛擬化能力來(lái)得到滿(mǎn)足。

云計(jì)算的出現(xiàn)，對(duì)傳統(tǒng)網(wǎng)絡(luò)安全理念提出了挑戰(zhàn)。啟明星辰認(rèn)為，必須主動(dòng)迎接新的變化，積極思索，不斷創(chuàng)新，才能為用戶(hù)的業(yè)務(wù)保駕護(hù)航，為安全業(yè)界做出貢獻(xiàn)。

原文鏈接：http://netsecurity.51cto.com/art/201110/298891.htm