云来了，安全盒子怎么办？（三）

在前两章中绿盟君为大家分析了云带来的安全挑战及现有的几种东西向防护方案，在最后一章中绿盟君将继续介绍关于云来了之后，为整个安全行业带来的变化及发展。

关于变化和发展

安全能力池化

传统的安全能力，都是通过固定的硬件盒子的形式提供的。在云时代，这种情况将发生变化。固化的安全能力，不能匹配云防护的要求。安全能力池化，首先是将传统的安全能力（引擎）虚拟化，其次是可弹性伸缩的安全池，最后能适应云环境的部署方式。云环境都是有租户的，那么云平台除了提供基础安全能力以外，也需要提供不同租户需求的不同安全能力套餐，并做到可运营。这样做的原因，本质是为了匹配云的特点：弹性，敏捷，虚拟化，可运营。

未来，传统硬件盒子的份额，可预见会持续下降，虚拟化安全产品的份额则会持续提高，此消彼长。传统盒子为了适应虚拟化，数通部分的模块会退化，引擎部分会持续强化。

在安全池基础上，需要有一个运营平台，对安全池进行统一管理，对安全业务进行灵活的开通、计费，并按照租户查看报表，以及云内部整体态势等功能。传统盒子的安全视角，是基于设备的。云安全池的视角，是基于运营平台的，安全盒子（虚拟机），只是平台下的一个基础模块。

最后，安全池是软件不是硬件，安全池泛指所有安全能力的集合，包含以安全硬件、安全虚机等组成的混合能力的“池”。

内嵌模式和外置模式互为补充

内嵌模式，指的是安全池内置在计算节点内，充分利用计算节点的计算能力进行安全防御的模式，简单可认为如下图所示：

外置模式，正好相反，安全能力放在单独的通用服务器内，如下图所示：

关于这两种方案的优劣势，争论很多。总的来说，内置式的最大优点，是充分利用计算节点进行就近防御。外置式最大优点，是有单独的安全能力空间，不占用计算资源。

不论安全厂商如何声称哪种方案好，从技术角度看，这两种方式实际上是互补的。外置安全池，更适合通过网络调度能力比较强的场合，以及以网络流量防护为主的场合；但是对于网络调度能力弱，需要结合local防护的场合，就适合内置方式。比如HWAF，本地杀毒，就近阻断，以及想在宿主机OS上搞点事情的场合。

外置和内置模式，都有对方干不了的事儿。从技术角度看，互补能够形成最完整的解决方案，缺一不可。无论目前坚持哪一派的厂商，最终都会走到这条路上来。从看见的客户实际需求，以及大厂的收购路线，都能印证这个趋势。

平台为王

传统盒子都是以卖盒子为主要销售模式。云机房，不但需要虚拟化的安全盒子（池），还需要处理和虚拟系统的对接以获取租户信息、vxlan信息，SDN引流对接；另外从运营模式看，云平台除了提供基础防护，更重要的是提供满足租户多样化需求的可运营的平台，并满足增值收入。

传统机房只需要安全盒子接入，最多加个网管软件，即可完成销售。对云安全来说，这是不够的，需要提供平台能力，通过将虚拟化能力引入平台，并将平台和云平台的对接，从而提供云防护能力。

云安全平台的模式和盒子不一样，平台模式是平台先行，盒子和虚机随后逐步建设。从这个角度看，得平台者得天下。平台模式示意图简单如下所示：

本文主要讨论“当下的”私有云安全，公有云不在此文范围内。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP