SecaaS中的增值业务分析

周祥生

中兴通讯股份有限公司 南京 210012

前言

SecaaS作为一项新的安全业务模式，受到了很大的关注，且发展迅速。Gartner预测，基于云计算的安全服务的使用将获得巨大发展；到2015年，基于云的安全控制，例如反恶意软件和反垃圾邮件服务，将占据60%的SecaaS市场[1]。

1) SecaaS的定义。所谓安全即服务，就是云计算技术在网络安全领域的应用和拓展，从而实现网络SecaaS的一种技术和业务模式，它通过将提升网络安全(包括访问控制、DdoS防护、病毒和恶意代码的检测和处理、网络流量的安全检测和过滤、邮件等应用的安全过滤、网络扫描、Web等特定应用的安全检测、网络异常流量检测等)的资源集群和池化，在不需要自身对安全设施进行维护管理、最小化服务成本、尽量减少业务提供商之间交互的情况下，通过互联网络得到便捷、按需、可伸缩的网络安全防护服务。

2) SecaaS的优势。SecaaS给云服务提供商和用户带来很多益处，包括更多的知识(例如病毒库)、更智能的行为(例如更快的反应)、更专业的安全设备维护(例如更专业的运维人员)等。

通过SecaaS，用户可以在最短的时间完成安全机制的部署，降低对安全设施的投资，快速获得具有竞争力的安全保障。

3) SecaaS的需求。SecaaS是云计算发展带给传统网路安全产品的一次发展变革。

驱动SecaaS发展的动力，主要来自于以下两方面。①安全威胁的数量和攻击强度不断增强，需要企业具有更强的安全能力。随着业务的拓展，企业信息资产面临的安全威胁日益增多。而随着技术的发展，利用增强的攻击技术，“黑客”制作的安全病毒等攻击手段，其危害也变得更加严重。SecaaS利用集中的安全资源，可以为用户提供快速、高效的安全机制。②中小企业无法为自己的业务提供足够的安全能力支持。在安全防范方面，中小企业面临着巨大的困境。一方面，主要来自企业自身的挑战，缺乏专业的安全运维员工、高额的安全设备投资费用、业务扩展和规模增长带来的灵活性需求、安全设备的高额维护成本等。另一方面，传统安全厂商鉴于投资收益分析，在安全设备设置时，主要着眼于高端用户或个人用户的安全方案，缺乏对中小企业的支持，所以，SecaaS的主要市场对象就是中小企业。

4) SecaaS面临的困境。无论是云用户或者云服务提供商，依然对它充满质疑。

①云用户。云计算可以提供按需的资源和能力。然而，云用户更关心云计算带来的风险，对信息系统的安全失去控制，使得他们忧心忡忡。鉴于安全服务的透明度等问题，导致用户依然无法消除对云安全的疑虑。SecaaS也一样，迄今为止，采用SecaaS的用户还是非常有限。

②云服务提供商。当用户租用云服务提供商提供的安全服务，用户的安全日志、合规报告等信息都记录在云服务提供商。鉴于当前缺乏安全及服务的业界标准，云服务提供商无法提供满足用户需求的安全信息，包括信息的可信度、信息的透明度等。

1 SecaaS业务类型

按照CSA(Cloud Security Alliance，云安全联盟)的分类[2]，SecaaS的业务类型主要包括：身份服务和访问管理服务、数据丢失防护(Data Loss Prevention，DLP)、Web安全、Email安全、安全评估、入侵管理及检测和防御(IDS/IPS)、安全信息和事件管理(SIEM)、加密、业务持续性和灾难恢复、网络安全。

1.1 身份服务和访问管理服务

身份即服务(IDaaS)是一个非常广泛的概念，它涵盖了身份的整个生态系统。它可以为实体提供身份、属性和声誉信息。所有的身份即服务既能单独提供，也能混合提供。这些身份服务能控制身份、访问和权限管理。

身份服务需要包括人、过程和系统，通过检查实体的身份来管理对企业资源的访问，然后基于确定的身份，赋予实体正确的访问等级。认证和访问的成功和失败记录，应用通过日志的方式进行记录，便于审查和响应。

1.2 数据丢失防护(DLP)

对在静态、迁移以及使用中数据的监控和保护，DLP服务通常通过在桌面或者服务器运行一个客户端来实现。

在云中，DLP服务作为云服务的一部分进行构建。例如，所有的服务器应该安装DLP软件，这些软件已经配置了策略。另外，DLP能提供一个服务，用来监控和控制跨边界的数据流。

1.3 Web安全

Web安全是实时保护的。它通过在边界的软件和应用安装，在云中的代理或者流量导向等方法进行提供。Web安全提供了一层额外的保护，就像反恶意软件一样，用于阻止恶意软件通过活动进入企业，例如网页浏览。

策略规则和实时的访问框架应该得到加强。Web安全是一个检测性的技术控制机制。

1.4 Email安全

Email安全应该对邮件进行保护，防止用户出现钓鱼网站、恶意附件等的威胁。另外，解决方案应该也能够支持基于策略的Email加密、数字签名的鉴定等。

1.5 安全评估

安全评估是基于工业标准对云服务进行审计或评估的第三方安全机制。传统的安全评估和合规设计可以基于很多已经定义好的标准，例如NIST、ISO和CIS等；而且有相对成熟的工具存在，其中有好多安全工具的实施类似SecaaS模式。在SecaaS中，用户可以以低投资、弹性、低管理来获得安全评估的利益。

1.6 入侵管理、检测和防御(IDS/IPS)

入侵检测/防御系统使用基于规则的方式监控行为模式，发现活动中的恶意行为，向企业呈现安全风险。网络IDS/IPS已经在过去十年获得广泛使用。

在云中，IDS系统聚焦于虚拟基础架构，跨hypervisor，控制针对多租户、使系统混乱的攻击。入侵检测系统是检测性的技术控制机制。

1.7 安全信息和事件管理(SIEM)

从真实的网络、应用和系统中，收集日志和事件数据进行分析，对事件进行响应。SIEM安全服务是一个检测性的技术控制。

1.8 加密

加密功能包括hash、数字摘要、证书生成和更新、密钥交换等。加密有很多的算法，而且加密的过程复杂，包括管理加密、解密和密钥[3]。

1.9 业务持续性和灾难恢复

业务持续性和灾难恢复是保证业务操作弹性的重要安全机制。

1.10 网络安全

网络安全组成的安全服务，用来限制和分配访问。从架构来看，网络安全服务，通过在网络上控制来保护个人的网络及资源。在云/虚拟环境中，网络安全可能来自云虚拟网络安全设备。确保虚拟网络设备上的流量可视性是虚拟网络安全的关键。

2 云计算安全中的SecaaS

在云计算环境中，不同用户、不同业务对安全有不同需求。为了实现对云计算服务的差异化安全保障，可以将安全作为一项增值服务向云计算应用提供[4]。这将改变以往IT安全系统投入仅仅作为IT设施成本支出的现状，将安全作为一项业务开展。

从某种意义上说，这也是SecaaS，只不过它的服务对象是云环境中的业务。

2.1 IaaS环境下的SecaaS

SecaaS将安全作为一种增值服务提供给用户，尤其是在IaaS环境下，安全将和基础的计算、存储资源一样，用户可以根据自身需要灵活选择。

1) IaaS环境下的安全防护。IaaS的服务提供商需要对IaaS环境提供一些基础的公共安全保障，服务商需要对用户的数据安全或应用安全提供一定程度的安全保证，甚至签署SLA协议。这些公共的安全防护包括以下几个方面。

①基础网络安全保障。对于云计算服务商而言，在其将网络、存储、计算和带宽等资源统一打包租给用户时，这些基础物理设施的安全防护是需要重点保证的，也应该是SLA内容的一部分。云计算服务商需要将这些危害到基础设施基础安全的风险统一考虑。

②用户自助服务管理平台的访问安全。用户需要登录到运营商的云服务管理平台，进行自身的管理操作。云计算服务商本身需要对租户的这种自服务操作进行用户身份认证确认、用户策略的保密、不同租户之间配置安全隔离以及用户关键安全事件的日志记录，以便后续可以进行问题跟踪溯源。

③服务器虚拟化的安全。在服务器虚拟化的过程中，虚拟机部分组件如CPU、缓存等对于该系统的使用者而言并不是完全隔离的。此时任何一个租户的虚拟机漏洞被黑客利用将导致整个物理服务器的全部虚拟机不能正常工作，同时，针对全部虚拟机的管理平台，一旦管理软件的安全漏洞被利用将可能导致整个云计算的服务器资源被攻击从而造成云计算环境的瘫痪。针对这类型公用基础设施的安全需要部署防护。

2) IaaS环境下安全增值服务。为了差异化用户的类型，服务商还可以根据用户的需求，将网络安全作为一种增值服务出租给用户，这些安全增值服务包含以下几个方面。

①防火墙增值服务。用户在租用计算资源后，面对自身的应用系统，需要进行安全区域的设置，并配置适当的安全域策略来规范对应用系统的访问和禁止；与此同时，服务商需要为每个租户提供网络安全事件的日志信息，以及经过分析归并的安全事件分析报表，便于租户对自身的网络、计算及存储资源的安全状况进行评估。

②IPS入侵防御增值服务。在IaaS环境中也存在很多的安全漏洞，用户在租用云服务商的计算资源并部署相关应用系统时，需要针对自身应用系统的安全风险进行适当的漏洞防御。

③LB负载均衡增值服务。随着企业关键应用逐渐向Web化转移，企业所属服务器的对外Web应用正在不断增加，单个的虚拟机或服务器本身提供的性能不足，需要向服务商租用多台服务器或者虚拟机实现业务承载。在这种情况下，为了保证各服务器的均衡工作，租户可以有选择地使用服务商提供的负载均衡业务。

④安全VPN服务。用户在租用云计算服务时，为了保证数据的访问安全，一般情况下都会对访问数据进行VPN加密，同时针对用户访问进行严格的身份认证和权限控制。

2.2 安全增值服务部署模型

在SecaaS的模型指导下，不同的租户可以选择适合自身需要的云服务模型，以满足差异化的需求；同时不同的用户对于同一种服务本身也会存在不同的技术要求。因此在服务模型设计时，需要从横向和纵向两个维度进行考虑为客户设计差异化的技术及方案。

从横向维度来看，云服务商可以根据增值安全服务的类型，在默认支持IPSec VPN接入的情况下，将FW、IPS或者LB等服务作为划分用户等级的元素，通过单类型服务或多种服务组合，设计出不同的套餐种类：如对普通客户默认不提供任何安全增值服务，对铜牌客户默认提供防火墙增值服务，对银牌客户可以提供防火墙加IPS入侵防护的增值服务，而对金牌客户则可以提供包括防火墙、IPS入侵防御、LB负载均衡以及SSL VPN的全套服务，这种划分方式比较简单直接，用户可以根据自身对安全的需求进行选择(如图1右侧图所示)。

从纵向维度来看，云服务商可以根据不同的用户对于单个增值服务的使用粒度进行划分。如针对防火墙服务，对于不同的用户级别，可以通过吞吐量、并发连接数、安全策略数等易测量指标进行划分，比如可以定义“50M防火墙吞吐量带宽+1万并发连接数+500条安全策略”作为一个基础性能包进行资费定义；针对IPS服务可以从特征库的类别进行划分，如只开启数据库类特征库、操作系统类特征库或者Web应用特征库等，用户可以根据自身应用系统的情况自行选择；针对LB负载均衡业务，则可以基于需要调度的流量负载、用户所拥有的最大虚服务个数、最大访问控制策略数等进行组合定义(如图1左侧图所示)。

在SecaaS的模型中，通过对安全作为服务进行精确的、可测量的划分，才能实现不同等级和需求的用户可以根据自身需要基于自助服务平台灵活选择[5]。在实际的云计算环境部署过程中，多种安全服务将作为独立的资源池部署在云计算网络的汇聚或核心节点(如图2所示)，针对选择了安全服务的租户，将通过特定的引流策略或路由配置，引导这部分用户流量流经安全资源池，保证用户流量得到安全检查。

2.3 安全增值服务的技术支撑

在SecaaS的模型中，要求安全设备及软件具备以下的技术支撑[6]。

1) 虚拟化的技术支持。在SecaaS的模型下，不同的租户可能选择差异化的安全模型，此时需要安全资源池的设备可以通过虚拟化技术提供基于用户的专有安全服务。

2) 管理平台的技术支持。云计算服务商需要建设统一的云管理平台，实现对整个云计算基础设施资源的管理和监控。在SecaaS的模型要求下，统一的云管理平台应在安全管理功能的完整性以及接口API的开放性两个方面有所考虑。

总之，现阶段的云计算IaaS模式在国内还处在发展的初期，SecaaS的模型在安全服务的类型提供、安全资源的可测量性以及安全运维管理能力基线化方面仍需进一步的探索和实践，才能形成完善的IaaS云计算解决方案，更好地满足用户的需求。

2.4 云IDC安全增值服务

图1 差异化的安全增值服务模型定义示意图

图2 SecaaS在云计算环境中的部署

这些年来，运营商IDC(Internet Data Center，互联网数据中心)不只停留在传统业务层面，其走向专业化与服务化、开展更多增值服务成为发展的趋势。从过去传统的主机托管到虚拟主机、搭建企业专线局域网，再到涉及网络安全的硬件防火墙、网络入侵检测等增值业务不断出现。RSA认为，运营商IDC通过对不同数据在不同发展阶段的管理，可以进一步向客户提供更细化的安全增值业务。

相关数据显示，运营商IDC在主机托管的业务比例下滑严重，但增值业务比例显著增长，具体包括数据存储备份、网络安全服务、代维服务等。从全球增值服务市场来看，安全增值服务的份额正在不断增长，其范畴主要包括九方面，分别是：内容安全服务、实时监控服务、防火墙服务、企业恢复服务、邮件安全服务、存储安全服务、防DDoS服务、入侵检测服务、安全认证服务，具体如表1所示。实际上，安全增值服务领域还可以继续拓展，作为全业务运营的电信运营商来讲，除了企业内部信息安全管理的需求之外，电信运营商在提供安全增值服务方面蕴藏无限商机，越来越受到关注。

表1 云IDC安全增值服务产品

3 结束语

结合现状分析，业界提供的云安全服务主要是病毒查杀、恶意代码检测和过滤、Web应用的云检测、邮件的安全检测和过滤等。而对于防火墙访问控制、DDoS攻击防护、入侵检测和防护等方面的安全服务还比较少见。同时，SecaaS高度依赖于网络进行业务传递，如果网络出现问题，则安全服务难以为继，因此，SecaaS一定是在一个高可靠网络环境中的业务服务。又因SecaaS源自云，云端服务器的安全性难以保证，因此要开展SecaaS，首先要保证云计算安全，其次，要保证云中的安全资源池的安全，关键的是要保证云计算和SecaaS的可信。

可以看到，SecaaS目前业界还有很多技术、产品的空白，突破这些空白确实有很多问题需要克服，但我们相信，随着云计算、软件即服务的进一步成熟，这些难题也将随着时间推移迎刃而解。

参考文献

[1]Gartner.Market Trends:Cloud-Based Security Services Market,Worldwide,2014[EB/OL].[2015-01-13].http://www.gartner.com/resId=2607617

[2]CSA.Security as a Service Working Group,SecaaS_V1_0[EB/OL].[2015-01-13].https://cloudsecurityalliance.org/research/secaas/?r=27#downloads

[3]Tim Mather,Subra Kumaraswamy,Shahed Laitf.Cloud Security and Privacy:An Enterprise Perspective on Risks and Compliance[M].New York:O'Reilly.2012

[4]John W Rittinghouse,James F Ransome.Cloud Comput ing:Implementation,Management,and Security[M].Boca Raton,FL:CRC Press,Taylor &Francis Group,2013

[5]叶伟,赵进,叶军.互联网时代的软件革命—Saas架构设计[M].北京:电子工业出版社,2009

[6]张尼,刘镝,张云勇.云计算安全技术与应用[M].北京:电子工业出版社,2014