SecaaS中的增值業(yè)務(wù)分析

周祥生

中興通訊股份有限公司 南京 210012

前言

SecaaS作為一項新的安全業(yè)務(wù)模式，受到了很大的關(guān)注，且發(fā)展迅速。Gartner預(yù)測，基于云計算的安全服務(wù)的使用將獲得巨大發(fā)展；到2015年，基于云的安全控制，例如反惡意軟件和反垃圾郵件服務(wù)，將占據(jù)60%的SecaaS市場[1]。

1) SecaaS的定義。所謂安全即服務(wù)，就是云計算技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用和拓展，從而實現(xiàn)網(wǎng)絡(luò)SecaaS的一種技術(shù)和業(yè)務(wù)模式，它通過將提升網(wǎng)絡(luò)安全(包括訪問控制、DdoS防護(hù)、病毒和惡意代碼的檢測和處理、網(wǎng)絡(luò)流量的安全檢測和過濾、郵件等應(yīng)用的安全過濾、網(wǎng)絡(luò)掃描、Web等特定應(yīng)用的安全檢測、網(wǎng)絡(luò)異常流量檢測等)的資源集群和池化，在不需要自身對安全設(shè)施進(jìn)行維護(hù)管理、最小化服務(wù)成本、盡量減少業(yè)務(wù)提供商之間交互的情況下，通過互聯(lián)網(wǎng)絡(luò)得到便捷、按需、可伸縮的網(wǎng)絡(luò)安全防護(hù)服務(wù)。

2) SecaaS的優(yōu)勢。SecaaS給云服務(wù)提供商和用戶帶來很多益處，包括更多的知識(例如病毒庫)、更智能的行為(例如更快的反應(yīng))、更專業(yè)的安全設(shè)備維護(hù)(例如更專業(yè)的運維人員)等。

通過SecaaS，用戶可以在最短的時間完成安全機制的部署，降低對安全設(shè)施的投資，快速獲得具有競爭力的安全保障。

3) SecaaS的需求。SecaaS是云計算發(fā)展帶給傳統(tǒng)網(wǎng)路安全產(chǎn)品的一次發(fā)展變革。

驅(qū)動SecaaS發(fā)展的動力，主要來自于以下兩方面。①安全威脅的數(shù)量和攻擊強度不斷增強，需要企業(yè)具有更強的安全能力。隨著業(yè)務(wù)的拓展，企業(yè)信息資產(chǎn)面臨的安全威脅日益增多。而隨著技術(shù)的發(fā)展，利用增強的攻擊技術(shù)，“黑客”制作的安全病毒等攻擊手段，其危害也變得更加嚴(yán)重。SecaaS利用集中的安全資源，可以為用戶提供快速、高效的安全機制。②中小企業(yè)無法為自己的業(yè)務(wù)提供足夠的安全能力支持。在安全防范方面，中小企業(yè)面臨著巨大的困境。一方面，主要來自企業(yè)自身的挑戰(zhàn)，缺乏專業(yè)的安全運維員工、高額的安全設(shè)備投資費用、業(yè)務(wù)擴展和規(guī)模增長帶來的靈活性需求、安全設(shè)備的高額維護(hù)成本等。另一方面，傳統(tǒng)安全廠商鑒于投資收益分析，在安全設(shè)備設(shè)置時，主要著眼于高端用戶或個人用戶的安全方案，缺乏對中小企業(yè)的支持，所以，SecaaS的主要市場對象就是中小企業(yè)。

4) SecaaS面臨的困境。無論是云用戶或者云服務(wù)提供商，依然對它充滿質(zhì)疑。

①云用戶。云計算可以提供按需的資源和能力。然而，云用戶更關(guān)心云計算帶來的風(fēng)險，對信息系統(tǒng)的安全失去控制，使得他們憂心忡忡。鑒于安全服務(wù)的透明度等問題，導(dǎo)致用戶依然無法消除對云安全的疑慮。SecaaS也一樣，迄今為止，采用SecaaS的用戶還是非常有限。

②云服務(wù)提供商。當(dāng)用戶租用云服務(wù)提供商提供的安全服務(wù)，用戶的安全日志、合規(guī)報告等信息都記錄在云服務(wù)提供商。鑒于當(dāng)前缺乏安全及服務(wù)的業(yè)界標(biāo)準(zhǔn)，云服務(wù)提供商無法提供滿足用戶需求的安全信息，包括信息的可信度、信息的透明度等。

1 SecaaS業(yè)務(wù)類型

按照CSA(Cloud Security Alliance，云安全聯(lián)盟)的分類[2]，SecaaS的業(yè)務(wù)類型主要包括：身份服務(wù)和訪問管理服務(wù)、數(shù)據(jù)丟失防護(hù)(Data Loss Prevention，DLP)、Web安全、Email安全、安全評估、入侵管理及檢測和防御(IDS/IPS)、安全信息和事件管理(SIEM)、加密、業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)、網(wǎng)絡(luò)安全。

1.1 身份服務(wù)和訪問管理服務(wù)

身份即服務(wù)(IDaaS)是一個非常廣泛的概念，它涵蓋了身份的整個生態(tài)系統(tǒng)。它可以為實體提供身份、屬性和聲譽信息。所有的身份即服務(wù)既能單獨提供，也能混合提供。這些身份服務(wù)能控制身份、訪問和權(quán)限管理。

身份服務(wù)需要包括人、過程和系統(tǒng)，通過檢查實體的身份來管理對企業(yè)資源的訪問，然后基于確定的身份，賦予實體正確的訪問等級。認(rèn)證和訪問的成功和失敗記錄，應(yīng)用通過日志的方式進(jìn)行記錄，便于審查和響應(yīng)。

1.2 數(shù)據(jù)丟失防護(hù)(DLP)

對在靜態(tài)、遷移以及使用中數(shù)據(jù)的監(jiān)控和保護(hù)，DLP服務(wù)通常通過在桌面或者服務(wù)器運行一個客戶端來實現(xiàn)。

在云中，DLP服務(wù)作為云服務(wù)的一部分進(jìn)行構(gòu)建。例如，所有的服務(wù)器應(yīng)該安裝DLP軟件，這些軟件已經(jīng)配置了策略。另外，DLP能提供一個服務(wù)，用來監(jiān)控和控制跨邊界的數(shù)據(jù)流。

1.3 Web安全

Web安全是實時保護(hù)的。它通過在邊界的軟件和應(yīng)用安裝，在云中的代理或者流量導(dǎo)向等方法進(jìn)行提供。Web安全提供了一層額外的保護(hù)，就像反惡意軟件一樣，用于阻止惡意軟件通過活動進(jìn)入企業(yè)，例如網(wǎng)頁瀏覽。

策略規(guī)則和實時的訪問框架應(yīng)該得到加強。Web安全是一個檢測性的技術(shù)控制機制。

1.4 Email安全

Email安全應(yīng)該對郵件進(jìn)行保護(hù)，防止用戶出現(xiàn)釣魚網(wǎng)站、惡意附件等的威脅。另外，解決方案應(yīng)該也能夠支持基于策略的Email加密、數(shù)字簽名的鑒定等。

1.5 安全評估

安全評估是基于工業(yè)標(biāo)準(zhǔn)對云服務(wù)進(jìn)行審計或評估的第三方安全機制。傳統(tǒng)的安全評估和合規(guī)設(shè)計可以基于很多已經(jīng)定義好的標(biāo)準(zhǔn)，例如NIST、ISO和CIS等；而且有相對成熟的工具存在，其中有好多安全工具的實施類似SecaaS模式。在SecaaS中，用戶可以以低投資、彈性、低管理來獲得安全評估的利益。

1.6 入侵管理、檢測和防御(IDS/IPS)

入侵檢測/防御系統(tǒng)使用基于規(guī)則的方式監(jiān)控行為模式，發(fā)現(xiàn)活動中的惡意行為，向企業(yè)呈現(xiàn)安全風(fēng)險。網(wǎng)絡(luò)IDS/IPS已經(jīng)在過去十年獲得廣泛使用。

在云中，IDS系統(tǒng)聚焦于虛擬基礎(chǔ)架構(gòu)，跨hypervisor，控制針對多租戶、使系統(tǒng)混亂的攻擊。入侵檢測系統(tǒng)是檢測性的技術(shù)控制機制。

1.7 安全信息和事件管理(SIEM)

從真實的網(wǎng)絡(luò)、應(yīng)用和系統(tǒng)中，收集日志和事件數(shù)據(jù)進(jìn)行分析，對事件進(jìn)行響應(yīng)。SIEM安全服務(wù)是一個檢測性的技術(shù)控制。

1.8 加密

加密功能包括hash、數(shù)字摘要、證書生成和更新、密鑰交換等。加密有很多的算法，而且加密的過程復(fù)雜，包括管理加密、解密和密鑰[3]。

1.9 業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)

業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)是保證業(yè)務(wù)操作彈性的重要安全機制。

1.10 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全組成的安全服務(wù)，用來限制和分配訪問。從架構(gòu)來看，網(wǎng)絡(luò)安全服務(wù)，通過在網(wǎng)絡(luò)上控制來保護(hù)個人的網(wǎng)絡(luò)及資源。在云/虛擬環(huán)境中，網(wǎng)絡(luò)安全可能來自云虛擬網(wǎng)絡(luò)安全設(shè)備。確保虛擬網(wǎng)絡(luò)設(shè)備上的流量可視性是虛擬網(wǎng)絡(luò)安全的關(guān)鍵。

2 云計算安全中的SecaaS

在云計算環(huán)境中，不同用戶、不同業(yè)務(wù)對安全有不同需求。為了實現(xiàn)對云計算服務(wù)的差異化安全保障，可以將安全作為一項增值服務(wù)向云計算應(yīng)用提供[4]。這將改變以往IT安全系統(tǒng)投入僅僅作為IT設(shè)施成本支出的現(xiàn)狀，將安全作為一項業(yè)務(wù)開展。

從某種意義上說，這也是SecaaS，只不過它的服務(wù)對象是云環(huán)境中的業(yè)務(wù)。

2.1 IaaS環(huán)境下的SecaaS

SecaaS將安全作為一種增值服務(wù)提供給用戶，尤其是在IaaS環(huán)境下，安全將和基礎(chǔ)的計算、存儲資源一樣，用戶可以根據(jù)自身需要靈活選擇。

1) IaaS環(huán)境下的安全防護(hù)。IaaS的服務(wù)提供商需要對IaaS環(huán)境提供一些基礎(chǔ)的公共安全保障，服務(wù)商需要對用戶的數(shù)據(jù)安全或應(yīng)用安全提供一定程度的安全保證，甚至簽署SLA協(xié)議。這些公共的安全防護(hù)包括以下幾個方面。

①基礎(chǔ)網(wǎng)絡(luò)安全保障。對于云計算服務(wù)商而言，在其將網(wǎng)絡(luò)、存儲、計算和帶寬等資源統(tǒng)一打包租給用戶時，這些基礎(chǔ)物理設(shè)施的安全防護(hù)是需要重點保證的，也應(yīng)該是SLA內(nèi)容的一部分。云計算服務(wù)商需要將這些危害到基礎(chǔ)設(shè)施基礎(chǔ)安全的風(fēng)險統(tǒng)一考慮。

②用戶自助服務(wù)管理平臺的訪問安全。用戶需要登錄到運營商的云服務(wù)管理平臺，進(jìn)行自身的管理操作。云計算服務(wù)商本身需要對租戶的這種自服務(wù)操作進(jìn)行用戶身份認(rèn)證確認(rèn)、用戶策略的保密、不同租戶之間配置安全隔離以及用戶關(guān)鍵安全事件的日志記錄，以便后續(xù)可以進(jìn)行問題跟蹤溯源。

③服務(wù)器虛擬化的安全。在服務(wù)器虛擬化的過程中，虛擬機部分組件如CPU、緩存等對于該系統(tǒng)的使用者而言并不是完全隔離的。此時任何一個租戶的虛擬機漏洞被黑客利用將導(dǎo)致整個物理服務(wù)器的全部虛擬機不能正常工作，同時，針對全部虛擬機的管理平臺，一旦管理軟件的安全漏洞被利用將可能導(dǎo)致整個云計算的服務(wù)器資源被攻擊從而造成云計算環(huán)境的癱瘓。針對這類型公用基礎(chǔ)設(shè)施的安全需要部署防護(hù)。

2) IaaS環(huán)境下安全增值服務(wù)。為了差異化用戶的類型，服務(wù)商還可以根據(jù)用戶的需求，將網(wǎng)絡(luò)安全作為一種增值服務(wù)出租給用戶，這些安全增值服務(wù)包含以下幾個方面。

①防火墻增值服務(wù)。用戶在租用計算資源后，面對自身的應(yīng)用系統(tǒng)，需要進(jìn)行安全區(qū)域的設(shè)置，并配置適當(dāng)?shù)陌踩虿呗詠硪?guī)范對應(yīng)用系統(tǒng)的訪問和禁止；與此同時，服務(wù)商需要為每個租戶提供網(wǎng)絡(luò)安全事件的日志信息，以及經(jīng)過分析歸并的安全事件分析報表，便于租戶對自身的網(wǎng)絡(luò)、計算及存儲資源的安全狀況進(jìn)行評估。

②IPS入侵防御增值服務(wù)。在IaaS環(huán)境中也存在很多的安全漏洞，用戶在租用云服務(wù)商的計算資源并部署相關(guān)應(yīng)用系統(tǒng)時，需要針對自身應(yīng)用系統(tǒng)的安全風(fēng)險進(jìn)行適當(dāng)?shù)穆┒捶烙?/p>

③LB負(fù)載均衡增值服務(wù)。隨著企業(yè)關(guān)鍵應(yīng)用逐漸向Web化轉(zhuǎn)移，企業(yè)所屬服務(wù)器的對外Web應(yīng)用正在不斷增加，單個的虛擬機或服務(wù)器本身提供的性能不足，需要向服務(wù)商租用多臺服務(wù)器或者虛擬機實現(xiàn)業(yè)務(wù)承載。在這種情況下，為了保證各服務(wù)器的均衡工作，租戶可以有選擇地使用服務(wù)商提供的負(fù)載均衡業(yè)務(wù)。

④安全VPN服務(wù)。用戶在租用云計算服務(wù)時，為了保證數(shù)據(jù)的訪問安全，一般情況下都會對訪問數(shù)據(jù)進(jìn)行VPN加密，同時針對用戶訪問進(jìn)行嚴(yán)格的身份認(rèn)證和權(quán)限控制。

2.2 安全增值服務(wù)部署模型

在SecaaS的模型指導(dǎo)下，不同的租戶可以選擇適合自身需要的云服務(wù)模型，以滿足差異化的需求；同時不同的用戶對于同一種服務(wù)本身也會存在不同的技術(shù)要求。因此在服務(wù)模型設(shè)計時，需要從橫向和縱向兩個維度進(jìn)行考慮為客戶設(shè)計差異化的技術(shù)及方案。

從橫向維度來看，云服務(wù)商可以根據(jù)增值安全服務(wù)的類型，在默認(rèn)支持IPSec VPN接入的情況下，將FW、IPS或者LB等服務(wù)作為劃分用戶等級的元素，通過單類型服務(wù)或多種服務(wù)組合，設(shè)計出不同的套餐種類：如對普通客戶默認(rèn)不提供任何安全增值服務(wù)，對銅牌客戶默認(rèn)提供防火墻增值服務(wù)，對銀牌客戶可以提供防火墻加IPS入侵防護(hù)的增值服務(wù)，而對金牌客戶則可以提供包括防火墻、IPS入侵防御、LB負(fù)載均衡以及SSL VPN的全套服務(wù)，這種劃分方式比較簡單直接，用戶可以根據(jù)自身對安全的需求進(jìn)行選擇(如圖1右側(cè)圖所示)。

從縱向維度來看，云服務(wù)商可以根據(jù)不同的用戶對于單個增值服務(wù)的使用粒度進(jìn)行劃分。如針對防火墻服務(wù)，對于不同的用戶級別，可以通過吞吐量、并發(fā)連接數(shù)、安全策略數(shù)等易測量指標(biāo)進(jìn)行劃分，比如可以定義“50M防火墻吞吐量帶寬+1萬并發(fā)連接數(shù)+500條安全策略”作為一個基礎(chǔ)性能包進(jìn)行資費定義；針對IPS服務(wù)可以從特征庫的類別進(jìn)行劃分，如只開啟數(shù)據(jù)庫類特征庫、操作系統(tǒng)類特征庫或者Web應(yīng)用特征庫等，用戶可以根據(jù)自身應(yīng)用系統(tǒng)的情況自行選擇；針對LB負(fù)載均衡業(yè)務(wù)，則可以基于需要調(diào)度的流量負(fù)載、用戶所擁有的最大虛服務(wù)個數(shù)、最大訪問控制策略數(shù)等進(jìn)行組合定義(如圖1左側(cè)圖所示)。

在SecaaS的模型中，通過對安全作為服務(wù)進(jìn)行精確的、可測量的劃分，才能實現(xiàn)不同等級和需求的用戶可以根據(jù)自身需要基于自助服務(wù)平臺靈活選擇[5]。在實際的云計算環(huán)境部署過程中，多種安全服務(wù)將作為獨立的資源池部署在云計算網(wǎng)絡(luò)的匯聚或核心節(jié)點(如圖2所示)，針對選擇了安全服務(wù)的租戶，將通過特定的引流策略或路由配置，引導(dǎo)這部分用戶流量流經(jīng)安全資源池，保證用戶流量得到安全檢查。

2.3 安全增值服務(wù)的技術(shù)支撐

在SecaaS的模型中，要求安全設(shè)備及軟件具備以下的技術(shù)支撐[6]。

1) 虛擬化的技術(shù)支持。在SecaaS的模型下，不同的租戶可能選擇差異化的安全模型，此時需要安全資源池的設(shè)備可以通過虛擬化技術(shù)提供基于用戶的專有安全服務(wù)。

2) 管理平臺的技術(shù)支持。云計算服務(wù)商需要建設(shè)統(tǒng)一的云管理平臺，實現(xiàn)對整個云計算基礎(chǔ)設(shè)施資源的管理和監(jiān)控。在SecaaS的模型要求下，統(tǒng)一的云管理平臺應(yīng)在安全管理功能的完整性以及接口API的開放性兩個方面有所考慮。

總之，現(xiàn)階段的云計算IaaS模式在國內(nèi)還處在發(fā)展的初期，SecaaS的模型在安全服務(wù)的類型提供、安全資源的可測量性以及安全運維管理能力基線化方面仍需進(jìn)一步的探索和實踐，才能形成完善的IaaS云計算解決方案，更好地滿足用戶的需求。

2.4 云IDC安全增值服務(wù)

圖1 差異化的安全增值服務(wù)模型定義示意圖

圖2 SecaaS在云計算環(huán)境中的部署

這些年來，運營商IDC(Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心)不只停留在傳統(tǒng)業(yè)務(wù)層面，其走向?qū)I(yè)化與服務(wù)化、開展更多增值服務(wù)成為發(fā)展的趨勢。從過去傳統(tǒng)的主機托管到虛擬主機、搭建企業(yè)專線局域網(wǎng)，再到涉及網(wǎng)絡(luò)安全的硬件防火墻、網(wǎng)絡(luò)入侵檢測等增值業(yè)務(wù)不斷出現(xiàn)。RSA認(rèn)為，運營商IDC通過對不同數(shù)據(jù)在不同發(fā)展階段的管理，可以進(jìn)一步向客戶提供更細(xì)化的安全增值業(yè)務(wù)。

相關(guān)數(shù)據(jù)顯示，運營商IDC在主機托管的業(yè)務(wù)比例下滑嚴(yán)重，但增值業(yè)務(wù)比例顯著增長，具體包括數(shù)據(jù)存儲備份、網(wǎng)絡(luò)安全服務(wù)、代維服務(wù)等。從全球增值服務(wù)市場來看，安全增值服務(wù)的份額正在不斷增長，其范疇主要包括九方面，分別是：內(nèi)容安全服務(wù)、實時監(jiān)控服務(wù)、防火墻服務(wù)、企業(yè)恢復(fù)服務(wù)、郵件安全服務(wù)、存儲安全服務(wù)、防DDoS服務(wù)、入侵檢測服務(wù)、安全認(rèn)證服務(wù)，具體如表1所示。實際上，安全增值服務(wù)領(lǐng)域還可以繼續(xù)拓展，作為全業(yè)務(wù)運營的電信運營商來講，除了企業(yè)內(nèi)部信息安全管理的需求之外，電信運營商在提供安全增值服務(wù)方面蘊藏?zé)o限商機，越來越受到關(guān)注。

表1 云IDC安全增值服務(wù)產(chǎn)品

3 結(jié)束語

結(jié)合現(xiàn)狀分析，業(yè)界提供的云安全服務(wù)主要是病毒查殺、惡意代碼檢測和過濾、Web應(yīng)用的云檢測、郵件的安全檢測和過濾等。而對于防火墻訪問控制、DDoS攻擊防護(hù)、入侵檢測和防護(hù)等方面的安全服務(wù)還比較少見。同時，SecaaS高度依賴于網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)傳遞，如果網(wǎng)絡(luò)出現(xiàn)問題，則安全服務(wù)難以為繼，因此，SecaaS一定是在一個高可靠網(wǎng)絡(luò)環(huán)境中的業(yè)務(wù)服務(wù)。又因SecaaS源自云，云端服務(wù)器的安全性難以保證，因此要開展SecaaS，首先要保證云計算安全，其次，要保證云中的安全資源池的安全，關(guān)鍵的是要保證云計算和SecaaS的可信。

可以看到，SecaaS目前業(yè)界還有很多技術(shù)、產(chǎn)品的空白，突破這些空白確實有很多問題需要克服，但我們相信，隨著云計算、軟件即服務(wù)的進(jìn)一步成熟，這些難題也將隨著時間推移迎刃而解。

參考文獻(xiàn)

[1]Gartner.Market Trends:Cloud-Based Security Services Market,Worldwide,2014[EB/OL].[2015-01-13].http://www.gartner.com/resId=2607617

[2]CSA.Security as a Service Working Group,SecaaS_V1_0[EB/OL].[2015-01-13].https://cloudsecurityalliance.org/research/secaas/?r=27#downloads

[3]Tim Mather,Subra Kumaraswamy,Shahed Laitf.Cloud Security and Privacy:An Enterprise Perspective on Risks and Compliance[M].New York:O'Reilly.2012

[4]John W Rittinghouse,James F Ransome.Cloud Comput ing:Implementation,Management,and Security[M].Boca Raton,FL:CRC Press,Taylor &Francis Group,2013

[5]葉偉,趙進(jìn),葉軍.互聯(lián)網(wǎng)時代的軟件革命—Saas架構(gòu)設(shè)計[M].北京:電子工業(yè)出版社,2009

[6]張尼,劉鏑,張云勇.云計算安全技術(shù)與應(yīng)用[M].北京:電子工業(yè)出版社,2014