三种云计算安全服务模式 定义企业安全

云计算的发展，可以说是信息技术领域的一次革命。以计算、存储、网络虚拟化等技术为依托，将所有的IT资源虚拟化，形成资源池，通过云计算管理平台，统一为用户提供所需的服务。这样用户在使用相应的服务时，可以像使用传统的水、电、燃气一样，按需购买，按需付费，而避免了复杂的配置、管理和运维。

从云计算的定义和其服务模式来看，云计算有着以下特点：

· 按需自助服务：用户可以根据自己的实际需求，获取相应的服务资源。

· 广泛的网络访问：云平台通过网络连接为用户提供服务，用户可以通过PC客户端、移动客户端等多种方式进行接入管理。

· 资源池化：云服务商依托虚拟化技术，将各种的IT资源汇聚到资源池内，采用多租户的模式，按照不同的用户需求将资源池内相应的IT资源分配给对应用户进行使用。

· 快速弹性化：云计算平台能够根据用户对资源的需求情况，快速的进行资源的动态划分，使用户的资源能够做到弹性的扩容和收缩，保障用户业务的高效、稳定运行。

· 可度量：云计算之所以能够按需提供服务，其主要依赖于所提供服务能够进行有效度量，用户可以根据自身使用量进行付费。

从云计算的上述特点我们可以总结出云计算所带来的好处：

· 快速提供服务：对于像IaaS这类服务，用户在云平台浏览、购买云主机等相应资源，只需轻松几步，便可以将基础设施平台搭建完毕，避免了传统的服务器采购、服务器组装、系统安装、机房建设、网络规划等，成本大大缩减。对于像SaaS、IaaS这类的服务，更是购买完成后，可直接使用，无论是从成本和复杂度来看，均有着不小的诱惑。

· 弹性扩容：一方面，从用户的角度来看，用户所拥有的资源可以进行弹性的申请和释放，资源操作更加的方便灵活。另一方面，从云服务商角度来看，云计算的这种资源池化的方式，可以方便的进行资源的扩容与收缩，保证用户的服务质量。

· 成本低廉：一方面，资源按需购买、随买随用，使资源利用率实现了最大化。另一方面，人力成本大大缩减，减少了复杂了购买流程、硬件安装部署流程以及硬件运维成本。

· 高可用：依托于虚拟化等技术的优势，通过云计算平台对虚拟机进行监控，并且可以提供多种服务高可用保障。

· 可移植：虚拟机迁移、虚拟机复制等均可以做到业务的服务高效、快速移植。

由此可见，云计算所带来的种种优势，恰恰也同样是安全服务领域里所需要的，那么可否参考云计算的模式，来为用户提供相应的安全服务呢。

安全服务交付新模式—SECaaS

云计算的服务模式形成了“xxx-as-a-Service”的范式，在安全领域同样可以采用这样的范式来提供服务，保证安全服务也具有上述提及的种种好处。因此我们可以将安全资源进行云化，形成安全云，安全云为用户提供各种各样的安全服务，通常我们将其称作SECaaS（SECurity as a Service）。

类比企业部署云计算的模式，企业部署安全云同样也可以有三大类：公有安全云、私有安全云和混合安全云。

· 公有安全云即安全厂商提供的公众安全服务平台，理论上任何注册用户都可以接入该平台，获取相应的安全服务；

· 私有安全云即安全厂商在企业内部建设的专有安全云，由于其部署位置的优势，通常这种部署方式性能会更好，当然成本也更高；

· 混合安全云就是同时提供公有安全云和私有安全云两种服务类型的安全云建设方式，比如某大型企业，为了保证其自身安全防护的质量，在其自己的数据中心建设了私有安全云，同时将其中的部分安全服务对外提供给其它中小用户。由于混合安全云中集成了公有安全云和私有安全云的特性，因此也就不再针对这种部署模式进行赘述。

在用户获取安全服务层面看，SECaaS具体也可以分为三种形态：SaaS化的安全服务、PaaS化的安全服务和IaaS化的安全服务。

SaaS化的安全服务

SaaS化的安全服务是指用户可以直接从云端获取相应的安全服务，而无需安装部署任何设备。就像用户可以直接使用云端的邮件服务、文档管理服务一样，用户也可以直接使用云上的安全服务。

从安全云的部署形态来看，SaaS化的安全服务又可以分为公有安全云的SaaS服务和私有安全云的SaaS服务两类。由于安全服务在流量上的特殊性，这两种SaaS安全服务之间还是有一定的区别的。

公有安全云SaaS服务

通常公有安全云的SaaS服务主要以非网关类的安全服务居多，比如网站安全评估、网站安全监测、文档安全服务等。因为对于公有安全云，所有提供服务的安全设备均部署在安全厂商的云端，那么网关类的安全服务就需要所有的访问流量都先进入云端设备，云端对其进行清洗后，再将其发往正常的目的地址，这通常对安全云端的带宽等有较高的要求。

如下图所示的绿盟云网站安全SaaS解决方案，通过绿盟云提供的7*24小时安全服务，全面的扫描受保护网站的主机漏洞和Web漏洞，以及各种的网页挂马检测、篡改检测以及敏感内容检测。一旦发现问题，将第一时间向用户进行通知确认，并且云端安全专家还会提供更深入精准的咨询服务。

那么如果采用公有安全云的方式，是否其流量问题就是不可解决的呢？答案当然是否定的。从上文描述可以看出，上文所述的公有安全云服务的所有服务实施体均在安全厂商的安全云上，安全云与用户的业务网络之间跨越了广域网，所以才会产生所谓的流量带宽的问题。那么如果公有安全云提供的安全服务，其具体实施体在用户侧，这样的带宽问题就不存在了。

参考移动客户端的各种应用提供方式，我们的安全云SaaS服务也可以采用类似的方式，比如云端提供各种安全服务的应用商店，而非直接的安全服务，用户购买应用后，云端会将该应用与其对应的服务实体下载到用户数据中心本地，所有的安全防护服务均在业务网络本地进行实施，而云端仅仅是提供服务、购买服务的功能。其示意图如下图所示。

私有安全云SaaS服务

私有安全云由于其部署运行在用户侧的数据中心，因此理论上可以提供所有类型的SaaS安全服务。通常其方案架构如下图所示，该私有安全云主要由安全资源池、安全云管理平台和安全服务应用三大部分组成。用户通过安全应用获取对应的安全服务。该种服务模式的细节，可以参见《Security Fabric：软件定义的弹性安全云》一文。

这里安全服务应用的获取方式，既可以是安全云厂商提供的标准应用，也可是用户自己根据云安全管理平台提供的接口设计编写的的应用，还可以参照上文中提到安全应用商店，在私有安全云中进行部署，以实现安全应用的获取方式。

PaaS化的安全服务

PaaS化的安全服务和云计算的PaaS模型在概念上略有不同，通常意义上云计算的PaaS是指为用户提供编程环境。安全云的PaaS服务应该是指，云端可以为用户提供多种安全服务自动化编排的环境，用户在购买了PaaS化的安全服务后，云端会提供相应的编程模型、编程接口以及相关的安全服务能力，用户根据自身的需求，采用最简洁的脚本形式，形成安全服务的自动化编排，以应对复杂多变的攻击方式。比如RSA2016创新沙盒产品Phanton，就可以是云端PaaS服务的一种典型例子。

如下图所示，是安全云提供的用户自动化服务编排环境，所有的安全服务均抽象为一种种的安全服务能力操作，比如隔离设备、拦截URL，用户通过脚本编写自己的安全服务场景，实现更智能、敏捷、自动化的高级安全防护。

对于PaaS化的安全服务，在公有安全云和私有安全云上的区别，和SaaS化的安全服务类似，主要还是源自于流量方面的影响，在服务提供的原理上，二者基本是一致的。

IaaS化的安全服务

IaaS化的安全服务主要是指安全云为用户提供安全设备基础设施，这种基础设施既可以用来防护用户的业务云环境，也可以用来防护用户的传统物理网络。通常IaaS化的安全服务主要体现在安全私有云上。

用户根据自身需求，自助的通过安全云平台申请所需要的安全设备种类、安全设备配置、安全设备部署方式、安全设备工作模式等，然后与其业务网络之间进行互通性的配置，完成完全自主、可控的安全云管理。

这种IaaS化的安全服务提供方式，用户可操作、可控制的权限非常大，因此所能实现的安全防护场景也更多。当然这样的操作对于安全运维人员的相关积累和技术要求也越高。

总结

本文从云计算出发，结合云计算的优点，分析了云化的各种安全服务提供方式的特点和优势，总体来看SaaS、PaaS、IaaS三种安全服务提供方式对用户来讲，其使用的门槛和难易度是逐级递加的，三种服务提供方式对用户的专业程度要求也是逐级递加的，其防护的灵活度、安全防护的效果当然也是逐级递加的。

从当前安全云的建设来看，主要的安全服务提供方式还是以SaaS类的安全服务居多，无论是公有安全云还是私有安全云。而像PaaS这种用户可自动化编排的安全防护模式将会给安全云带来更多的亮点。