云计算IaaS环境下的公共安全防护模型分析(3)

2.2 IaaS环境下SaaS(安全即服务)的增值服务

为了差异化用户的类型，服务商还可以根据用户的需求，将网络安全作为一种增值服务出租给用户，这些安全增值服务包含以下几个方面：

防火墙增值服务

用户在租用计算资源后，相当于自身具备了一台相对独立的网络安全存储计算环境，在这种情况下，面对自身的应用系统，需要进行安全区域的设置，并配置适当的安全域策略来规范对应用系统的访问和禁止;与此同时，服务商需要为每个租户提供网络安全事件的日志信息，以及经过分析归并的安全事件分析报表，便于租户对自身的网络、计算及存储资源的安全状况进行评估，在必要的情况下可以给用户的策略调整提供依据和支撑。

IPS入侵防御增值服务

在IaaS环境中也存在很多的安全漏洞，用户在租用云服务商的计算资源并部署相关应用系统时，需要针对自身的应用系统的安全风险进行适当的漏洞防御;不同的租户有各自的应用系统环境，也面对差异化的安全漏洞风险，云服务商可以提供独立的安全资源池，用户可以根据自身业务系统的安全级别合理选择是否租用该漏洞防护服务。

LB负载均衡增值服务

随着企业关键应用逐渐向Web化转移，企业所属服务器的对外Web应用正在不断增加，单业务流量带宽也在不断增加，此时，单个的虚拟机或服务器本身提供的性能不足，需要向服务商租用多台服务器或者虚拟机实现业务承载。在这种情况下，为了保证各服务器的均衡工作，租户可以有选择地使用服务商提供的负载均衡业务。

安全VPN服务

用户在租用云计算服务时，为了保证数据的访问安全，一般情况下都会对访问数据进行VPN加密，同时针对用户访问进行严格的身份认证和权限控制。一般来说用户可以根据自身的情况进行VPN模式的选择，如果主要是固定分支访问可以选择IPSec VPN的加密方式，如果是移动接入用户为主可以选择SSL VPN的接入方式，或者是两种方式的综合。服务商可以通过VPN增值服务来满足用户差异化的VPN访问要求。

2.3 IaaS环境下SaaS(安全即服务)的部署模型

在安全即服务的模型指导下，不同的租户可以选择适合自身需要的云服务模型，以满足差异化的需求;同时不同的用户对于同一种服务本身也会存在不同的技术要求，因此在服务模型设计时，需要从横向和纵向两个维度进行考虑为客户设计差异化的技术及方案：

从横向维度来看，云服务商可以根据增值安全服务的类型，在默认支持IPSec VPN接入的情况下，将FW、IPS或者LB等服务作为划分用户等级的元素，通过单类型服务或多种服务组合，设计出不同的套餐种类：如对普通客户默认不提供任何安全增值服务，对铜牌客户默认提供防火墙增值服务，对银牌客户可以提供防火墙加IPS入侵防护的增值服务，而对金牌客户则可以提供包括防火墙、IPS入侵防御、LB负载均衡以及SSL VPN的全套服务，这种划分方式比较简单直接，用户可以根据自身对安全的需求进行选择。

从纵向维度来看，云服务商可以根据不同的用户对于单个增值服务的使用粒度进行划分。如针对防火墙服务，对于不同的用户级别，可以通过吞吐量、并发连接数、安全策略数等易测量指标进行划分，比如可以定义“50M防火墙吞吐量带宽+1万并发连接数+500条安全策略”作为一个基础性能包进行资费定义;针对IPS服务可以从特征库的类别进行划分，如只开启数据库类特征库、操作系统类特征库或者Web应用特征库等，用户可以根据自身应用系统的情况自行选择;针对LB负载均衡业务，则可以基于需要调度的流量负载、用户所拥有的最大虚服务个数、最大访问控制策略数等进行组合定义。

在SaaS(安全即服务)的模型中，通过对安全作为服务进行精确的、可测量的划分，才能实现不同等级和需求的用户可以根据自身需要基于自助服务平台灵活选择。在实际的云计算环境部署过程中，多种安全服务将作为独立的资源池部署在云计算网络的汇聚或核心节点，针对选择了安全服务的租户，将通过特定的引流策略或路由配置，引导这部分用户流量流经安全资源池，保证用户流量得到安全检查。(责任编辑：admin)