1 1 5 7 7漢柏云安全解決方案 21 什么叫云安全借用云計算商業模式將信息安全以云服務方式交付。參照云計算SaaS(SoftwareasService)的定義方法，我們可以叫做SecaaS(SecurityasService)。比如阿里云的云盾、百度的安全寶、山石的云界、漢柏的云墻都屬于針對云計算產品、服務、環境、數據等提供安全防護。屬于這個領域的云安全產品。利用云計算技術提升信息安全服務能力與水平。比如奇虎360的天眼利用云計算大規模計算能力進行病毒查殺、漢柏的云腦利用云計算大規模計算和存儲資源彈性伸縮技術進行未知安全威脅的預測和防御。2信息安全發展歷史junperFERTINETWAFOiMPERNA是piss■圖1主要信息安全業務領域從安全業務需求角度來看，呈現下面幾個趨勢：趨勢一：從通信安全、計算機安全、網絡安全向以應用為主的信息安全升級；趨勢二：從主機病毒查殺到主機側全方位安全；趨勢三：從傳統IT安全向移動互聯網安全、云計算安全、工業控制安全、大數據安全等新領域挺進；趨勢四：從防范已知威脅到未知威脅的防范。圖2信息安全發展里程碑APPNGFW、IPS、王控安全云計算安金物聯網安全大數據安全研發過程安全趨勢二：將社會工程學融合到攻擊實施過程中，比如脫褲、洗庫、撞庫等。3.從信息安全防御技術來看從信息安全防御技術角度看，呈現下面幾個趨勢：趨勢一：利用云計算和大數據技術防范未知威脅攻擊；趨勢二：采用大數據挖掘、日志交叉關聯分析等技術盡可能做到安全威脅的可視化；趨勢三：從單點防范到威脅情報共享，實現全局聯動與防范；趨勢四：從4~7層檢測到payload以及會話關聯檢測；趨勢五：從單純安全防護到重視前期預防，在信息系統研發、建設的過程中采取嚴格科學的流程確保盡可能少的安全漏洞。poaa4.從信息安全產品交付模式來看從信息安全產品交付模式來看，呈現下面趨勢：趨勢一：從軟硬一體形態到純軟件形態；趨勢二：從一次性售賣到租賃；趨勢三：從線下實物交付到線上云服務交付。3隨著云計算的興起，應用軟件廠商ISV紛紛開始嘗試SaaS業務模式，同樣一些信息安全廠商也開始在信息安全領域嘗試SaaS模式，一般稱之為SecaaS。從客戶角度，SecaaS模式有下面幾個明顯優勢：-提供全新的按需(規模，時間)銷售模式用戶在軟件和硬件上都無任何前期的一次性成本開銷，而且用戶還可以隨時啟用或者停止安全服務，無需任何事前承諾。-提供全托管的軟件交付模式-提供高可用，高安全的安全服務用戶的服務由安全廠商自身的專業運維團隊運維，且服務可用性是SecaaS客戶協議中的-SecaaS的租用模式比原來一次性授權的模式讓信息安全產品的使用成本門檻大幅下降可以讓安全廠商可以服務更多原來無能力使用的大量長尾用戶。-SecaaS讓產品交付及后期支持變得容易很多。由于基于集中的托管模式，安全廠商可以在線交付和更新服務，所有支持也可以在線完成，比原來線下和現場交付和支持的模式要高效得多，相應的成本也有明顯降低。-SecaaS讓軟件知識產權的保護變得更容易。由于后端集中托管，安全廠商無需再發行單獨的軟件安裝包，也就讓軟件盜版及非法使用變得不可能。這將避免安全廠商大量的收入流失以及原來模式下沉重的法務支出。所以，安全產品和服務的銷售和交付模式正在在沿著提高交付價值，降低用戶使用成本，幫助安全廠商更好提供服務的方向發展。盡管SecaaS在模式上有非常明顯的優勢。但SecaaS帶來的全托管模式也給安全廠商帶來新的問題，其中一個最大的挑戰就是基礎設施投入和建設。而過去十年公有云laaS的快速發展則正好解決了SecaaS軟件面臨的這個重大挑戰，大大降低安全廠商提供SecaaS服務的難度。具體體現在如下幾個方面：公有云laaS讓安全廠商不再需要自己投資昂貴的硬件基礎設施運行SecaaS軟件。相反，laaS提供了和SecaaS完全匹配的基礎設施計費模式(按需付費),這讓安全廠商在提供SecaaS服務上無基礎設施成本的額外負擔。-公有云提供的全球一致部署模式讓安全廠商可通過互聯網快速部署SecaaS服務到全球任一角落而無額外成本。-類似萃果的AppStore,公有云供應商開始普遍提供售賣軟件產品及服務的統一平臺(如軟件市場)。該平臺幫助安全廠商解決入口流量、用戶管理、支付管理等多個方面的工作，讓SecaaS服務的銷售成本更低。正是得益于SaaS模式上的優勢和過去十年公有云隨著云計算產品和服務的開花落地，針對云環境、云系統、云數據、云操作等方面的安全防護需求也隨著而來。比如vmware的vShield方案，與趨勢科技合作，提供云主機的病毒查隨著應用越來越豐富，安全事件也頻繁爆發，用戶對安全事件快速應急響應需求也越來越多。然而，之前的安全防護技術更多是基于已知威脅，一且發生未知威脅則需要相當長的時間研究才能夠提供特征庫更新或產品補丁升級。同時之前大多是單點防護，多個安全防護節點之間沒有有效協同，導致安全防護效果不佳，防護范圍也非常有限。因此未知威脅的提前感知、威脅情報共享就開始受到重視。但幸運的是，恰逢云計算技術和應用在當前得到長足發展和推廣，因此安全產品和服務就可以利用云計算的集中模式、大規模并行分布式計算、海量存儲以及大數據挖掘技術，來實現未知威脅的信息收集、存儲、挖掘與分析、告警及展示；威脅情報的收集、確認、共享等，從而有效提升安全服務的質量。云安全發展現狀當前還未有專業機構做SecaaS的市場統計。借鑒SaaS的市場情況，推測SecaaS占SaaS市場規模的10%左右。根據思科最新的全球云平臺負載指數(如圖6),SaaS已經成為云上最主要、增長最快的負載類型。到2018年全球云上負載超過一半都被SaaS服務消耗。圖6全球云平臺負載指數(思科統計)模將與2015年到達200億美金，且復合年均增長率也是超過傳統軟件的5倍。從技術和產品角度來看，當前SecaaS服務主要有三種交付模式：由于laaS公有云的快速發展，公有云laaS提供商成為新的軟件銷售入口。越來越多的用戶為降低初期基礎設施投入，都直接在laaS上部署企業軟件。這種方式降低了IT基礎設施的成本，但是軟件前期一次性授權的費用對很多企業來說仍然是很大的一筆開支。于是，laaS供應商開始和ISV合作，推出鏡像市場模式銷售軟件。企業用戶只需要在laaS軟件市場訂閱ISV的軟件并利用鏡像方式直接在laaS基礎設施上啟動服務，而且整個基礎設施和軟件授權費用都按使用時間和規模計費，統一通過laaS供應商的支付渠道完成支付。這里模式已經被公有云laaS供應商普逼采用，最為代表的有AWSMarketplace和阿里云的云市場。同理，安全廠商將安全軟件從硬件中分離出來，以軟件鏡像的方式運行在laaS基礎設施上面，提供SecaaS服務。這類模式的代表安全廠商已經比較多，下面是阿里云市場上的安全廠商：三云市場分類三云市場分類在此輸入您需要的服務oominoomin5金牌主機安全代維服務Hillstone圖8阿里云應用市場中的安全產品對于每一個用戶，安全廠商在其后臺獨立部署一套安全防護系統，并由安全廠商集中運維所有用戶的服務。在這種模式下，用戶之間的資源和數據是從物理層進行隔離，互不影響，所以無需安全廠商在軟件自身進行多租戶改造。類似于多租戶，用戶也是按需向安全廠商租用服務，并且不關心其中的軟件和硬件具體成本。由于這種模式的改造成本較低，同時又可以帶來SaaS服務的諸多優點，所以這類模式成為傳統安全廠商廠商轉型SecaaS的一個新選擇。代表廠商有云WAF服務商阿里云WAF、加速樂；云DDoS服務商阿里云DDoS等。-多租戶模式真正的多租戶模式，需要安全廠商對自己的安全產品做較大的改造，在前幾年由NetScreen提出的虛擬防火墻，在本質上就是讓防火墻支持多租戶。不過當前還未見到大規模采用這種模式的安全廠商。中國私有云市場規模，2012-2013總計-USS549.1MB計-088766.7MIDC204(4.1)圖9中國公有云市場規模(2013)針對云的安全防護市場規模當前也沒有權威機構單獨統計，如果按照云計算市場規模的10%計算，根據IDC2014年的統計預測數據，可以得出2013年中國云安全防護的市場規模大概在1.25億美元。從技術和產品的角度，幾家互聯網公司都為自己的云自主研發了防護系統，比如阿里云的云盾、騰訊的大禹和天御。vmware的vShield方案，與趨勢科技合作，提供云主機的病毒查殺；NSX方案，與Paloalto合作，提供云網絡安全防護。此領域還主要利用云計算和大數據技術來進行未知威脅的感知和處理。奇虎360的天眼產品走在業界前面，傳統安全廠商也逐漸開始關注此領域，不過大多還是基于SIEM和SoC的基礎上進行概念包裝。轉型云安全的挑戰大多傳統信息安全廠商已經意識到云安全的剛需和迫切性，但要想進入云安全的三個領域在技術、交付、思維模式方面都存在較大的挑戰。2)效率與性能租戶隔離分為邏輯隔離與物理隔離兩類。邏輯隔離意味著安全軟件系統需要重構以支持多租戶。-知識更新要針對云提供安全防護，則一方面需要對云計算的技術、系統結構、服務模式有較深入的理解和掌握，才能夠提出適用于各種部署模式的云的安全防護解決方案，另一方面，需要改造和升級現有安全產品，能夠對云環境、云系統、云數據、云操作等提供全方位的安全防護。-必須與虛擬化系統協同半年就升級一個大版本，從而導致安全解決方案也得不斷的跟隨openstack,疲于奔命。-技術挑戰當前開源的云操作系統(分布式資源調度、分布式任務調度)比較多，利用開源系統搭建一個大型規模的云數據中心來進行大規模的計算任務相對并不困難，但是傳統安全廠商不得不需要自己去開發未知威脅的收集、存儲、挖掘、可視化、與探針有效聯動的系統，則需要安全廠商掌握大規模分布式系統計算、并行計算、分布式存儲、大數據挖掘算法、交叉關聯分析算法、應用前端展示技術等，而這些是大部分安全廠商之前接觸掌握較少的技術。-基礎設施投入成本挑戰必須要建設一定規模的云數據中心，則意味著大量的硬件服務器、存儲、網絡等設備投入，這是一筆不小的投入，而且還不直接產生收入，對公司的運營成本帶來挑戰。-運維管理挑戰云數據中心雖然不直接對外提供服務，但是云數據中心的運維管理必不可少，對于傳統安全廠商沒有做過大型數據中心運維來說，也是不小的挑戰。云安全轉型的技術路線SecaaS的技術路線一般有三條，鏡像交付和單租戶交付模式前面已經闡述。-多租戶模式通過“大平臺+多租戶”的模式提供SecaaS服務。所有用戶的服務都由安全廠商集中運維管理，且所有用戶的服務共享安全防護的資源池，由安全廠商提供的多租戶邏輯實現用戶之間的資源和數據隔離。用戶按使用規模和時間直接向安全廠商付費(這個費用不再區分硬件費用和軟件費用)。目前，這類模式被認為是SecaaS服務的最終產品形態，所有新型的SecaaS公司也基本都采用這種模式在運營。但是，到目前為止，還沒有出現傳統安全廠商成功轉型成這種模式的成功案例。-與云平臺廠商合作，開辟新的產品線云防護產品至少需要下面幾個角色：1)可Scaleout的云安全防護控制器；2)可無縫嵌入到云平臺的安全插件；3)可動態伸縮的安全防護資源池。自主建設機房、自主開發或采用開源系統搭建云操作系統、自主開發運行在云操作系統上的業務系統、自主運維管理數據中心。采用公有云模式，在公有云上租用虛擬數據中心vDC相對于私有云模式，少了機房和IT基礎設施的建設，而是在公有云服務商那里租用以提供-采用混合云模式所謂的混合云模式，也就是在私有云和公有云上的vDC之間實現網絡通信、業務自動雙向遷移。當前，業務向公有云遷移有成功案例，反過來公有云業務向私有云遷移還未見到商用漢柏云安全解決方案云監管者云監管者云計算服務安全認證云消費者PrivateCommunityetc.云服務提供商軟件定義安全云產品提供商云解決方案安全云計算產品測評認證云計算資產等級保護Hybrid4.服務模型此架構模型將云角色分為云監管者、云產品提供者、云服務提供商、云消費者，并描述了每個角色的主要職責和承擔的安全風險。2.應用模型SecaaS(SecurityasService)CSP(CloudSecurityProtection)SCT(SecurityCloudTechnique)圖11漢柏云計算安全應用模型此應用模型描述了三個云安全應用領域。3.部署模型PrivateCloudPublicPrivateCloudPublicCloud此部署模型分為公有云、私有云、混合云、社區云幾個場景，同時針對每種場景的云安全需求也不盡相同。公有云場景，比較適合SecaaS服務，但對于公有云服務提供商來說，針對云的安全防護SCT需求仍然是必不可少，而且大都自主研發，以適應復雜的云場景。云計算安全服務模型云計算安全服務模型SaaS(SecuritySoftwareorFeatureaaS)PaaS(DistributedSecurityOS)HaaS(PhysicalFW、IPS.…)圖13漢柏云計算安全服務模型5.技術架構MultitaskComputing存儲與備份監控與大數據挖掘SOA基于隔離基于可信根儲圖14漢柏云計算安全技術架構數據保護OSS服務開通管理備份與恢復管理T服務水平管理服務交付目錄管理服務自動化管理工單管理自動化部署配置與變更管理T資產管理容量與性能管理平臺與虛擬化管理監控與事件管理BSS財務管理服務管理身份授權管理訂單管理服務目錄評級管理賬單管理度量與計費定價管理客戶管理合同管理圖15漢柏云計算安全管理模型云操作可信確保云服務對用戶透明比如：確保云中的數據不被竊取、尊改、甚至是數壞，云所提供的雕務不竊取，分析用戶的隱私，云中所運行的應用不被非法監聽、干擾，分析等可管確保針對用戶提供定制安全服務比如針對租戶提供定制化入侵防護服務比如針對不同用戶提供不同級別的信息安全服務準備規劃云數據擇與部署可控確保云環境不被用來做惡比如利用云的規模性主動或被動發起網絡攻擊、利用云數據集中的特性敖布遙言、更加重要的是采用一些非常規的技術和手段泄露國家機密。或利用預留后門在緊急時刻發起針對云數據中心的飯滅性攻擊等可靠確保云服務持續、符合SLA比如確保云報務持續可靠，不中斷、不因為故障或其他原因導致用戶損失等比如不被病毒感染，不被入侵攻擊等云環境運行監管云系統終止服務物理安全基礎設施安全慮擬化安全網絡安全應用安全數據安全內容安全移動安全管理安全圖16漢柏云計算安全評估模型在云計算服務生命周期的準備規劃、選擇與部署、運行監管、終止服務等4個階段，分別從云操作、云數據、云環境、云系統等4個角度，就物理安全、基礎設施安全、虛擬化安全、網絡安全、應用安全、數據安全、內容安全、移動安全、管理安全等9個方面，進行可信、可控、可靠、可管等4個安全維度的評估。8.監管模型(MSP/CSP)圖17漢柏云計算安全監管模型此監管模型提出云監管者可以從三個方面來實施監管：云計算產品測評認證、云計算服務安全認證和云計算資產等級保護。XenServer