周祥生

中興通訊股份有限公司 南京 210012

前言

SecaaS作為一項新的安全業(yè)務(wù)模式，受到了很大的關(guān)注，且發(fā)展迅速。Gartner預(yù)測，基于云計算的安全服務(wù)的使用將獲得巨大發(fā)展；到2015年，基于云的安全控制，例如反惡意軟件和反垃圾郵件服務(wù)，將占據(jù)60%的SecaaS市場[1]。

1) SecaaS的定義。所謂安全即服務(wù)，就是云計算技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用和拓展，從而實現(xiàn)網(wǎng)絡(luò)SecaaS的一種技術(shù)和業(yè)務(wù)模式，它通過將提升網(wǎng)絡(luò)安全(包括訪問控制、DdoS防護、病毒和惡意代碼的檢測和處理、網(wǎng)絡(luò)流量的安全檢測和過濾、郵件等應(yīng)用的安全過濾、網(wǎng)絡(luò)掃描、Web等特定應(yīng)用的安全檢測、網(wǎng)絡(luò)異常流量檢測等)的資源集群和池化，在不需要自身對安全設(shè)施進行維護管理、最小化服務(wù)成本、盡量減少業(yè)務(wù)提供商之間交互的情況下，通過互聯(lián)網(wǎng)絡(luò)得到便捷、按需、可伸縮的網(wǎng)絡(luò)安全防護服務(wù)。

2) SecaaS的優(yōu)勢。SecaaS給云服務(wù)提供商和用戶帶來很多益處，包括更多的知識(例如病毒庫)、更智能的行為(例如更快的反應(yīng))、更專業(yè)的安全設(shè)備維護(例如更專業(yè)的運維人員)等。

通過SecaaS，用戶可以在最短的時間完成安全機制的部署，降低對安全設(shè)施的投資，快速獲得具有競爭力的安全保障。

3) SecaaS的需求。SecaaS是云計算發(fā)展帶給傳統(tǒng)網(wǎng)路安全產(chǎn)品的一次發(fā)展變革。

驅(qū)動SecaaS發(fā)展的動力，主要來自于以下兩方面。①安全威脅的數(shù)量和攻擊強度不斷增強，需要企業(yè)具有更強的安全能力。隨著業(yè)務(wù)的拓展，企業(yè)信息資產(chǎn)面臨的安全威脅日益增多。而隨著技術(shù)的發(fā)展，利用增強的攻擊技術(shù)，“黑客”制作的安全病毒等攻擊手段，其危害也變得更加嚴重。SecaaS利用集中的安全資源，可以為用戶提供快速、高效的安全機制。②中小企業(yè)無法為自己的業(yè)務(wù)提供足夠的安全能力支持。在安全防范方面，中小企業(yè)面臨著巨大的困境。一方面，主要來自企業(yè)自身的挑戰(zhàn)，缺乏專業(yè)的安全運維員工、高額的安全設(shè)備投資費用、業(yè)務(wù)擴展和規(guī)模增長帶來的靈活性需求、安全設(shè)備的高額維護成本等。另一方面，傳統(tǒng)安全廠商鑒于投資收益分析，在安全設(shè)備設(shè)置時，主要著眼于高端用戶或個人用戶的安全方案，缺乏對中小企業(yè)的支持，所以，SecaaS的主要市場對象就是中小企業(yè)。

4) SecaaS面臨的困境。無論是云用戶或者云服務(wù)提供商，依然對它充滿質(zhì)疑。

①云用戶。云計算可以提供按需的資源和能力。然而，云用戶更關(guān)心云計算帶來的風險，對信息系統(tǒng)的安全失去控制，使得他們憂心忡忡。鑒于安全服務(wù)的透明度等問題，導致用戶依然無法消除對云安全的疑慮。SecaaS也一樣，迄今為止，采用SecaaS的用戶還是非常有限。

②云服務(wù)提供商。當用戶租用云服務(wù)提供商提供的安全服務(wù)，用戶的安全日志、合規(guī)報告等信息都記錄在云服務(wù)提供商。鑒于當前缺乏安全及服務(wù)的業(yè)界標準，云服務(wù)提供商無法提供滿足用戶需求的安全信息，包括信息的可信度、信息的透明度等。

1 SecaaS業(yè)務(wù)類型

按照CSA(Cloud Security Alliance，云安全聯(lián)盟)的分類[2]，SecaaS的業(yè)務(wù)類型主要包括：身份服務(wù)和訪問管理服務(wù)、數(shù)據(jù)丟失防護(Data Loss Prevention，DLP)、Web安全、Email安全、安全評估、入侵管理及檢測和防御(IDS/IPS)、安全信息和事件管理(SIEM)、加密、業(yè)務(wù)持續(xù)性和災(zāi)難恢復、網(wǎng)絡(luò)安全。

1.1 身份服務(wù)和訪問管理服務(wù)

身份即服務(wù)(IDaaS)是一個非常廣泛的概念，它涵蓋了身份的整個生態(tài)系統(tǒng)。它可以為實體提供身份、屬性和聲譽信息。所有的身份即服務(wù)既能單獨提供，也能混合提供。這些身份服務(wù)能控制身份、訪問和權(quán)限管理。

身份服務(wù)需要包括人、過程和系統(tǒng)，通過檢查實體的身份來管理對企業(yè)資源的訪問，然后基于確定的身份，賦予實體正確的訪問等級。認證和訪問的成功和失敗記錄，應(yīng)用通過日志的方式進行記錄，便于審查和響應(yīng)。

1.2 數(shù)據(jù)丟失防護(DLP)

對在靜態(tài)、遷移以及使用中數(shù)據(jù)的監(jiān)控和保護，DLP服務(wù)通常通過在桌面或者服務(wù)器運行一個客戶端來實現(xiàn)。

在云中，DLP服務(wù)作為云服務(wù)的一部分進行構(gòu)建。例如，所有的服務(wù)器應(yīng)該安裝DLP軟件，這些軟件已經(jīng)配置了策略。另外，DLP能提供一個服務(wù)，用來監(jiān)控和控制跨邊界的數(shù)據(jù)流。

1.3 Web安全

Web安全是實時保護的。它通過在邊界的軟件和應(yīng)用安裝，在云中的代理或者流量導向等方法進行提供。Web安全提供了一層額外的保護，就像反惡意軟件一樣，用于阻止惡意軟件通過活動進入企業(yè)，例如網(wǎng)頁瀏覽。

策略規(guī)則和實時的訪問框架應(yīng)該得到加強。Web安全是一個檢測性的技術(shù)控制機制。

1.4 Email安全

Email安全應(yīng)該對郵件進行保護，防止用戶出現(xiàn)釣魚網(wǎng)站、惡意附件等的威脅。另外，解決方案應(yīng)該也能夠支持基于策略的Email加密、數(shù)字簽名的鑒定等。

1.5 安全評估

安全評估是基于工業(yè)標準對云服務(wù)進行審計或評估的第三方安全機制。傳統(tǒng)的安全評估和合規(guī)設(shè)計可以基于很多已經(jīng)定義好的標準，例如NIST、ISO和CIS等；而且有相對成熟的工具存在，其中有好多安全工具的實施類似SecaaS模式。在SecaaS中，用戶可以以低投資、彈性、低管理來獲得安全評估的利益。

1.6 入侵管理、檢測和防御(IDS/IPS)

入侵檢測/防御系統(tǒng)使用基于規(guī)則的方式監(jiān)控行為模式，發(fā)現(xiàn)活動中的惡意行為，向企業(yè)呈現(xiàn)安全風險。網(wǎng)絡(luò)IDS/IPS已經(jīng)在過去十年獲得廣泛使用。

在云中，IDS系統(tǒng)聚焦于虛擬基礎(chǔ)架構(gòu)，跨hypervisor，控制針對多租戶、使系統(tǒng)混亂的攻擊。入侵檢測系統(tǒng)是檢測性的技術(shù)控制機制。

1.7 安全信息和事件管理(SIEM)

從真實的網(wǎng)絡(luò)、應(yīng)用和系統(tǒng)中，收集日志和事件數(shù)據(jù)進行分析，對事件進行響應(yīng)。SIEM安全服務(wù)是一個檢測性的技術(shù)控制。

1.8 加密

加密功能包括hash、數(shù)字摘要、證書生成和更新、密鑰交換等。加密有很多的算法，而且加密的過程復雜，包括管理加密、解密和密鑰[3]。

1.9 業(yè)務(wù)持續(xù)性和災(zāi)難恢復

業(yè)務(wù)持續(xù)性和災(zāi)難恢復是保證業(yè)務(wù)操作彈性的重要安全機制。

1.10 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全組成的安全服務(wù)，用來限制和分配訪問。從架構(gòu)來看，網(wǎng)絡(luò)安全服務(wù)，通過在網(wǎng)絡(luò)上控制來保護個人的網(wǎng)絡(luò)及資源。在云/虛擬環(huán)境中，網(wǎng)絡(luò)安全可能來自云虛擬網(wǎng)絡(luò)安全設(shè)備。確保虛擬網(wǎng)絡(luò)設(shè)備上的流量可視性是虛擬網(wǎng)絡(luò)安全的關(guān)鍵。

2 云計算安全中的SecaaS

在云計算環(huán)境中，不同用戶、不同業(yè)務(wù)對安全有不同需求。為了實現(xiàn)對云計算服務(wù)的差異化安全保障，可以將安全作為一項增值服務(wù)向云計算應(yīng)用提供[4]。這將改變以往IT安全系統(tǒng)投入僅僅作為IT設(shè)施成本支出的現(xiàn)狀，將安全作為一項業(yè)務(wù)開展。

從某種意義上說，這也是SecaaS，只不過它的服務(wù)對象是云環(huán)境中的業(yè)務(wù)。

2.1 IaaS環(huán)境下的SecaaS

SecaaS將安全作為一種增值服務(wù)提供給用戶，尤其是在IaaS環(huán)境下，安全將和基礎(chǔ)的計算、存儲資源一樣，用戶可以根據(jù)自身需要靈活選擇。

1) IaaS環(huán)境下的安全防護。IaaS的服務(wù)提供商需要對IaaS環(huán)境提供一些基礎(chǔ)的公共安全保障，服務(wù)商需要對用戶的數(shù)據(jù)安全或應(yīng)用安全提供一定程度的安全保證，甚至簽署SLA協(xié)議。這些公共的安全防護包括以下幾個方面。

①基礎(chǔ)網(wǎng)絡(luò)安全保障。對于云計算服務(wù)商而言，在其將網(wǎng)絡(luò)、存儲、計算和帶寬等資源統(tǒng)一打包租給用戶時，這些基礎(chǔ)物理設(shè)施的安全防護是需要重點保證的，也應(yīng)該是SLA內(nèi)容的一部分。云計算服務(wù)商需要將這些危害到基礎(chǔ)設(shè)施基礎(chǔ)安全的風險統(tǒng)一考慮。

②用戶自助服務(wù)管理平臺的訪問安全。用戶需要登錄到運營商的云服務(wù)管理平臺，進行自身的管理操作。云計算服務(wù)商本身需要對租戶的這種自服務(wù)操作進行用戶身份認證確認、用戶策略的保密、不同租戶之間配置安全隔離以及用戶關(guān)鍵安全事件的日志記錄，以便后續(xù)可以進行問題跟蹤溯源。

③服務(wù)器虛擬化的安全。在服務(wù)器虛擬化的過程中，虛擬機部分組件如CPU、緩存等對于該系統(tǒng)的使用者而言并不是完全隔離的。此時任何一個租戶的虛擬機漏洞被黑客利用將導致整個物理服務(wù)器的全部虛擬機不能正常工作，同時，針對全部虛擬機的管理平臺，一旦管理軟件的安全漏洞被利用將可能導致整個云計算的服務(wù)器資源被攻擊從而造成云計算環(huán)境的癱瘓。針對這類型公用基礎(chǔ)設(shè)施的安全需要部署防護。

2) IaaS環(huán)境下安全增值服務(wù)。為了差異化用戶的類型，服務(wù)商還可以根據(jù)用戶的需求，將網(wǎng)絡(luò)安全作為一種增值服務(wù)出租給用戶，這些安全增值服務(wù)包含以下幾個方面。

①防火墻增值服務(wù)。用戶在租用計算資源后，面對自身的應(yīng)用系統(tǒng)，需要進行安全區(qū)域的設(shè)置，并配置適當?shù)陌踩虿呗詠硪?guī)范對應(yīng)用系統(tǒng)的訪問和禁止；與此同時，服務(wù)商需要為每個租戶提供網(wǎng)絡(luò)安全事件的日志信息，以及經(jīng)過分析歸并的安全事件分析報表，便于租戶對自身的網(wǎng)絡(luò)、計算及存儲資源的安全狀況進行評估。

②IPS入侵防御增值服務(wù)。在IaaS環(huán)境中也存在很多的安全漏洞，用戶在租用云服務(wù)商的計算資源并部署相關(guān)應(yīng)用系統(tǒng)時，需要針對自身應(yīng)用系統(tǒng)的安全風險進行適當?shù)穆┒捶烙?/p>

③LB負載均衡增值服務(wù)。隨著企業(yè)關(guān)鍵應(yīng)用逐漸向Web化轉(zhuǎn)移，企業(yè)所屬服務(wù)器的對外Web應(yīng)用正在不斷增加，單個的虛擬機或服務(wù)器本身提供的性能不足，需要向服務(wù)商租用多臺服務(wù)器或者虛擬機實現(xiàn)業(yè)務(wù)承載。在這種情況下，為了保證各服務(wù)器的均衡工作，租戶可以有選擇地使用服務(wù)商提供的負載均衡業(yè)務(wù)。

④安全VPN服務(wù)。用戶在租用云計算服務(wù)時，為了保證數(shù)據(jù)的訪問安全，一般情況下都會對訪問數(shù)據(jù)進行VPN加密，同時針對用戶訪問進行嚴格的身份認證和權(quán)限控制。

2.2 安全增值服務(wù)部署模型

在SecaaS的模型指導下，不同的租戶可以選擇適合自身需要的云服務(wù)模型，以滿足差異化的需求；同時不同的用戶對于同一種服務(wù)本身也會存在不同的技術(shù)要求。因此在服務(wù)模型設(shè)計時，需要從橫向和縱向兩個維度進行考慮為客戶設(shè)計差異化的技術(shù)及方案。

從橫向維度來看，云服務(wù)商可以根據(jù)增值安全服務(wù)的類型，在默認支持IPSec VPN接入的情況下，將FW、IPS或者LB等服務(wù)作為劃分用戶等級的元素，通過單類型服務(wù)或多種服務(wù)組合，設(shè)計出不同的套餐種類：如對普通客戶默認不提供任何安全增值服務(wù)，對銅牌客戶默認提供防火墻增值服務(wù)，對銀牌客戶可以提供防火墻加IPS入侵防護的增值服務(wù)，而對金牌客戶則可以提供包括防火墻、IPS入侵防御、LB負載均衡以及SSL VPN的全套服務(wù)，這種劃分方式比較簡單直接，用戶可以根據(jù)自身對安全的需求進行選擇(如圖1右側(cè)圖所示)。

從縱向維度來看，云服務(wù)商可以根據(jù)不同的用戶對于單個增值服務(wù)的使用粒度進行劃分。如針對防火墻服務(wù)，對于不同的用戶級別，可以通過吞吐量、并發(fā)連接數(shù)、安全策略數(shù)等易測量指標進行劃分，比如可以定義“50M防火墻吞吐量帶寬+1萬并發(fā)連接數(shù)+500條安全策略”作為一個基礎(chǔ)性能包進行資費定義；針對IPS服務(wù)可以從特征庫的類別進行劃分，如只開啟數(shù)據(jù)庫類特征庫、操作系統(tǒng)類特征庫或者Web應(yīng)用特征庫等，用戶可以根據(jù)自身應(yīng)用系統(tǒng)的情況自行選擇；針對LB負載均衡業(yè)務(wù)，則可以基于需要調(diào)度的流量負載、用戶所擁有的最大虛服務(wù)個數(shù)、最大訪問控制策略數(shù)等進行組合定義(如圖1左側(cè)圖所示)。

在SecaaS的模型中，通過對安全作為服務(wù)進行精確的、可測量的劃分，才能實現(xiàn)不同等級和需求的用戶可以根據(jù)自身需要基于自助服務(wù)平臺靈活選擇[5]。在實際的云計算環(huán)境部署過程中，多種安全服務(wù)將作為獨立的資源池部署在云計算網(wǎng)絡(luò)的匯聚或核心節(jié)點(如圖2所示)，針對選擇了安全服務(wù)的租戶，將通過特定的引流策略或路由配置，引導這部分用戶流量流經(jīng)安全資源池，保證用戶流量得到安全檢查。

2.3 安全增值服務(wù)的技術(shù)支撐

在SecaaS的模型中，要求安全設(shè)備及軟件具備以下的技術(shù)支撐[6]。

1) 虛擬化的技術(shù)支持。在SecaaS的模型下，不同的租戶可能選擇差異化的安全模型，此時需要安全資源池的設(shè)備可以通過虛擬化技術(shù)提供基于用戶的專有安全服務(wù)。

2) 管理平臺的技術(shù)支持。云計算服務(wù)商需要建設(shè)統(tǒng)一的云管理平臺，實現(xiàn)對整個云計算基礎(chǔ)設(shè)施資源的管理和監(jiān)控。在SecaaS的模型要求下，統(tǒng)一的云管理平臺應(yīng)在安全管理功能的完整性以及接口API的開放性兩個方面有所考慮。

總之，現(xiàn)階段的云計算IaaS模式在國內(nèi)還處在發(fā)展的初期，SecaaS的模型在安全服務(wù)的類型提供、安全資源的可測量性以及安全運維管理能力基線化方面仍需進一步的探索和實踐，才能形成完善的IaaS云計算解決方案，更好地滿足用戶的需求。

2.4 云IDC安全增值服務(wù)

圖1 差異化的安全增值服務(wù)模型定義示意圖

圖2 SecaaS在云計算環(huán)境中的部署

這些年來，運營商IDC(Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心)不只停留在傳統(tǒng)業(yè)務(wù)層面，其走向?qū)I(yè)化與服務(wù)化、開展更多增值服務(wù)成為發(fā)展的趨勢。從過去傳統(tǒng)的主機托管到虛擬主機、搭建企業(yè)專線局域網(wǎng)，再到涉及網(wǎng)絡(luò)安全的硬件防火墻、網(wǎng)絡(luò)入侵檢測等增值業(yè)務(wù)不斷出現(xiàn)。RSA認為，運營商IDC通過對不同數(shù)據(jù)在不同發(fā)展階段的管理，可以進一步向客戶提供更細化的安全增值業(yè)務(wù)。

相關(guān)數(shù)據(jù)顯示，運營商IDC在主機托管的業(yè)務(wù)比例下滑嚴重，但增值業(yè)務(wù)比例顯著增長，具體包括數(shù)據(jù)存儲備份、網(wǎng)絡(luò)安全服務(wù)、代維服務(wù)等。從全球增值服務(wù)市場來看，安全增值服務(wù)的份額正在不斷增長，其范疇主要包括九方面，分別是：內(nèi)容安全服務(wù)、實時監(jiān)控服務(wù)、防火墻服務(wù)、企業(yè)恢復服務(wù)、郵件安全服務(wù)、存儲安全服務(wù)、防DDoS服務(wù)、入侵檢測服務(wù)、安全認證服務(wù)，具體如表1所示。實際上，安全增值服務(wù)領(lǐng)域還可以繼續(xù)拓展，作為全業(yè)務(wù)運營的電信運營商來講，除了企業(yè)內(nèi)部信息安全管理的需求之外，電信運營商在提供安全增值服務(wù)方面蘊藏無限商機，越來越受到關(guān)注。

表1 云IDC安全增值服務(wù)產(chǎn)品

3 結(jié)束語

結(jié)合現(xiàn)狀分析，業(yè)界提供的云安全服務(wù)主要是病毒查殺、惡意代碼檢測和過濾、Web應(yīng)用的云檢測、郵件的安全檢測和過濾等。而對于防火墻訪問控制、DDoS攻擊防護、入侵檢測和防護等方面的安全服務(wù)還比較少見。同時，SecaaS高度依賴于網(wǎng)絡(luò)進行業(yè)務(wù)傳遞，如果網(wǎng)絡(luò)出現(xiàn)問題，則安全服務(wù)難以為繼，因此，SecaaS一定是在一個高可靠網(wǎng)絡(luò)環(huán)境中的業(yè)務(wù)服務(wù)。又因SecaaS源自云，云端服務(wù)器的安全性難以保證，因此要開展SecaaS，首先要保證云計算安全，其次，要保證云中的安全資源池的安全，關(guān)鍵的是要保證云計算和SecaaS的可信。

可以看到，SecaaS目前業(yè)界還有很多技術(shù)、產(chǎn)品的空白，突破這些空白確實有很多問題需要克服，但我們相信，隨著云計算、軟件即服務(wù)的進一步成熟，這些難題也將隨著時間推移迎刃而解。

參考文獻

[1]Gartner.Market Trends:Cloud-Based Security Services Market,Worldwide,2014[EB/OL].[2015-01-13].http://www.gartner.com/resId=2607617

[2]CSA.Security as a Service Working Group,SecaaS_V1_0[EB/OL].[2015-01-13].https://cloudsecurityalliance.org/research/secaas/?r=27#downloads

[3]Tim Mather,Subra Kumaraswamy,Shahed Laitf.Cloud Security and Privacy:An Enterprise Perspective on Risks and Compliance[M].New York:O'Reilly.2012

[4]John W Rittinghouse,James F Ransome.Cloud Comput ing:Implementation,Management,and Security[M].Boca Raton,FL:CRC Press,Taylor &Francis Group,2013

[5]葉偉,趙進,葉軍.互聯(lián)網(wǎng)時代的軟件革命—Saas架構(gòu)設(shè)計[M].北京:電子工業(yè)出版社,2009

[6]張尼,劉鏑,張云勇.云計算安全技術(shù)與應(yīng)用[M].北京:電子工業(yè)出版社,2014