发布日期:2013-04-28 15:28 来源:中国电信网络安全实验室 标签: 安全 云服务 应用
 

纵观目前在市场上提供的安全云服务,不难发现,目前业界提供的业务主要是在线的病毒查杀、恶意代码检测和过滤、Web应用的云检测、邮件的安全检测和过滤等,而对于像防火墙访问控制、DDoS攻击防护、入侵检测和防护等方面的安全云服务则还比较少见。通过分析安全云服务发展现状可以发现,在目前业界已经推出的这些安全云服务中,除了邮件的安全检测和过滤业务之外,几乎都属于笔者在7.2节中所提出的"在线安全软件服务"范畴,而唯一例外的"邮件的安全检测和过滤业务"也是与集中的邮件服务相结合的,也就是在业务提供中,邮件安全检测和过滤业务的客户必须为服务提供者的邮件系统用户。而对于纯粹意义上的流量检测和过滤类业务还相当少见。这种情况主要是由安全云服务的部署和实际应用存在的一些问题所导致的,总结起来主要有以下两个方面的原因。

(1)目前在安全云服务的部署和应用中,主要的参与者还是传统的网络安全服务提供商,这些厂家由于在特定的网络安全领域的积累,对于部分安全业务可以方便地通过网络化提供来形成安全云服务能力,但对于部分的安全云服务,特别是流量检测和过滤类业务,由于需要对网络流量进行检测和处理,而传统网络安全服务提供商不具备对网络管道的控制能力,因此其通过集中的云化的安全服务池来部署这一类服务是十分困难的。在不具备对网络管道控制的情况下部署这类服务时,服务提供商只能在网络流量到达客户网络之后再将流量重定向到集中化的安全云中心进行处理,这种实现不仅效率低下,而且会大大增加成本。

(2)尽管云计算的概念和理念已经提出了好几年,对于安全云服务的业务实现也已经列入了很多安全服务提供商和安全设备提供商的日程。但从7.2.2节的分析可以看到,为了实现比较完善的网络安全资源的池化和虚拟化,需要构成资源池的网络安全设备具备状态回馈和动态配置等方面的云化要求。而目前对于很多安全设备来说,这类的功能不仅还不具备,甚至基本的一些标准和规范也未成型,这也是安全云服务的部署和应用中的一大障碍。

综合以上的分析,为了促进安全云服务体系的部署和应用,首先要改变传统安全服务提供商在安全云服务中唱独角戏的现状,充分发挥安全云服务产业链各方的优势。

在安全云服务产业链中,安全云服务提供商是云安全服务的主要提供者和推动者。传统网络安全服务商由于其网络安全领域的积累,不仅有较强的安全技术实力,而且有较丰富的安全服务提供经验,可以提升安全云服务水平。而对于电信运营商来说,由于具备控制用户流量管道的优势,对网络流量检测和过滤类业务的开展有着得天独厚的有利条件,从而可以方便打造集中化安全管控能力,同时电信运营商在网络运营方面有着成熟的经验,对提升安全云服务的服务水平也很有帮助。因此,在安全云服务的部署和应用中,电信运营商和传统的安全服务提供商应该加强合作,优势互补,从为客户提供全面的网络安全服务出发,共同打造全网的安全云服务平台。

由电信运营商和传统网络安全服务提供商共同打造的安全云服务平台主要包括两个部分。

(1)全网统一的安全云服务中心。在该中心中主要具备安全检测和分析类安全能力和在线安全软件类安全能力。在该中心中完成特定应用的安全检测和过滤(如Email、Web的内容过滤,木马、病毒等恶意代码的检测和过滤,特定URL流量过滤,垃圾邮件过滤等)、网络安全脆弱性扫描检测、Web等特定应用的安全检测、安全事件的监控和分析、网络异常流量的检测、在线病毒和木马查杀、在线终端安全性检测等方面的业务功能。

(2)分布式的安全云服务分中心。这类分中心主要以省网为单位,主要提供流量检测和控制类安全业务能力,主要实现所属区域防火墙访问控制、DDoS攻击防护、入侵检测和防护,以及全网的DDoS攻击防范业务等能力。

通过以上两级的安全云服务平台的建设,可以实现覆盖全网的安全云业务提供能力,其体系架构如图7-7所示。


 
图7-7  全网安全云服务体系架构图

此外,为了加快安全云业务的应用,建议网络安全设备提供商加强与安全云服务提供商的合作,加强网络安全设备的池化和虚拟化支持能力,尽快在接口、安全策略模板、状态参数等方面制定相应的标准,并在设备上进行功能的支持。

相关评论

专题信息
    随着云计算技术的应用越来越广泛,云计算的可信性和安全性问题凸显。本书叙述了采用可信云安全技术解决云计算可信和安全问题的方法。可信云安全技术是在云计算环境中,针对云端互动的人进行可信计算和安全计算的技术。