关于安全服务模型的一些思考

本文从云计算出发，结合云计算的优点，分析了云化的各种安全服务提供方式的特点和优势，总体来看SaaS、PaaS、IaaS三种安全服务提供方式对用户来讲，其使用的门槛和难易度是逐级递加的，三种服务提供方式对用户的专业程度要求也是逐级递加的，其防护的灵活度、安全防护的效果当然也是逐级递加的。

安全服务交付新模式—SECaaS

云计算的服务模式形成了“xxx-as-a-Service”的范式，在安全领域同样可以采用这样的范式来提供服务，保证安全服务也具有上述提及的种种好处。因此我们可以将安全资源进行云化，形成安全云，安全云为用户提供各种各样的安全服务，通常我们将其称作SECaaS（SECurity as a Service）。

类比企业部署云计算的模式，企业部署安全云同样也可以有三大类：公有安全云、私有安全云和混合安全云。

公有安全云即安全厂商提供的公众安全服务平台，理论上任何注册用户都可以接入该平台，获取相应的安全服务

私有安全云即安全厂商在企业内部建设的专有安全云，由于其部署位置的优势，通常这种部署方式性能会更好，当然成本也更高；

混合安全云就是同时提供公有安全云和私有安全云两种服务类型的安全云建设方式，比如某大型企业，为了保证其自身安全防护的质量，在其自己的数据中心建设了私有安全云，同时将其中的部分安全服务对外提供给其它中小用户。由于混合安全云中集成了公有安全云和私有安全云的特性，因此也就不再针对这种部署模式进行赘述。

SaaS化的安全服务

SaaS化的安全服务是指用户可以直接从云端获取相应的安全服务，而无需安装部署任何设备。就像用户可以直接使用云端的邮件服务、文档管理服务一样，用户也可以直接使用云上的安全服务。

从安全云的部署形态来看，SaaS化的安全服务又可以分为公有安全云的SaaS服务和私有安全云的SaaS服务两类。由于安全服务在流量上的特殊性，这两种SaaS安全服务之间还是有一定的区别的。

公有安全云SaaS服务

通常公有安全云的SaaS服务主要以非网关类的安全服务居多，比如网站安全评估、网站安全监测、文档安全服务等。因为对于公有安全云，所有提供服务的安全设备均部署在安全厂商的云端，那么网关类的安全服务就需要所有的访问流量都先进入云端设备，云端对其进行清洗后，再将其发往正常的目的地址，这通常对安全云端的带宽等有较高的要求。

如下图所示的绿盟云网站安全SaaS解决方案，通过绿盟云提供的7*24小时安全服务，全面的扫描受保护网站的主机漏洞和Web漏洞，以及各种的网页挂马检测、篡改检测以及敏感内容检测。一旦发现问题，将第一时间向用户进行通知确认，并且云端安全专家还会提供更深入精准的咨询服务。

那么如果采用公有安全云的方式，是否其流量问题就是不可解决的呢？答案当然是否定的。从上文描述可以看出，上文所述的公有安全云服务的所有服务实施体均在安全厂商的安全云上，安全云与用户的业务网络之间跨越了广域网，所以才会产生所谓的流量带宽的问题。那么如果公有安全云提供的安全服务，其具体实施体在用户侧，这样的带宽问题就不存在了。

参考移动客户端的各种应用提供方式，我们的安全云SaaS服务也可以采用类似的方式，比如云端提供各种安全服务的应用商店，而非直接的安全服务，用户购买应用后，云端会将该应用与其对应的服务实体下载到用户数据中心本地，所有的安全防护服务均在业务网络本地进行实施，而云端仅仅是提供服务、购买服务的功能。其示意图如下图所示。

私有安全云SaaS服务

私有安全云由于其部署运行在用户侧的数据中心，因此理论上可以提供所有类型的SaaS安全服务。通常其方案架构如下图所示，该私有安全云主要由安全资源池、安全云管理平台和安全服务应用三大部分组成。用户通过安全应用获取对应的安全服务。该种服务模式的细节，可以参见《Security Fabric：软件定义的弹性安全云》一文。

这里安全服务应用的获取方式，既可以是安全云厂商提供的标准应用，也可是用户自己根据云安全管理平台提供的接口设计编写的的应用，还可以参照上文中提到安全应用商店，在私有安全云中进行部署，以实现安全应用的获取方式。

PaaS化的安全服务

PaaS化的安全服务和云计算的PaaS模型在概念上略有不同，通常意义上云计算的PaaS是指为用户提供编程环境。安全云的PaaS服务应该是指，云端可以为用户提供多种安全服务自动化编排的环境，用户在购买了PaaS化的安全服务后，云端会提供相应的编程模型、编程接口以及相关的安全服务能力，用户根据自身的需求，采用最简洁的脚本形式，形成安全服务的自动化编排，以应对复杂多变的攻击方式。比如RSA2016创新沙盒产品Phanton，就可以是云端PaaS服务的一种典型例子。

如下图所示，是安全云提供的用户自动化服务编排环境，所有的安全服务均抽象为一种种的安全服务能力操作，比如隔离设备、拦截URL，用户通过脚本编写自己的安全服务场景，实现更智能、敏捷、自动化的高级安全防护。

对于PaaS化的安全服务，在公有安全云和私有安全云上的区别，和SaaS化的安全服务类似，主要还是源自于流量方面的影响，在服务提供的原理上，二者基本是一致的。

IaaS化的安全服务

IaaS化的安全服务主要是指安全云为用户提供安全设备基础设施，这种基础设施既可以用来防护用户的业务云环境，也可以用来防护用户的传统物理网络。通常IaaS化的安全服务主要体现在安全私有云上。

用户根据自身需求，自助的通过安全云平台申请所需要的安全设备种类、安全设备配置、安全设备部署方式、安全设备工作模式等，然后与其业务网络之间进行互通性的配置，完成完全自主、可控的安全云管理。

这种IaaS化的安全服务提供方式，用户可操作、可控制的权限非常大，因此所能实现的安全防护场景也更多。当然这样的操作对于安全运维人员的相关积累和技术要求也越高。

总结

本文从云计算出发，结合云计算的优点，分析了云化的各种安全服务提供方式的特点和优势，总体来看SaaS、PaaS、IaaS三种安全服务提供方式对用户来讲，其使用的门槛和难易度是逐级递加的，三种服务提供方式对用户的专业程度要求也是逐级递加的，其防护的灵活度、安全防护的效果当然也是逐级递加的。

据了解，从当前安全云的建设来看，主要的安全服务提供方式还是以SaaS类的安全服务居多，无论是公有安全云还是私有安全云。而像PaaS这种用户可自动化编排的安全防护模式将会给安全云带来更多的亮点。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP