云安全从了解基于云的防火墙开始

基于云的防火墙有两种,虽然底层技术可能相同,但它们其实时两种类型的产品:一种用于保护企业的网络和用户,另一种保护云基础设施和服务器。让我们看看这两者的区别。

这两种防火墙我们分别称为Vanila和Strawberry(笔者仅使用这两个词语用于区分二者,便与讨论),这两种都是检查入站和出站数据包以阻止恶意流量的软件。但它们有很大的不同,我们可以将它们视为两个重要的网络安全工具:两者都旨在保护你、你的网络以及你的真实和虚拟资产。

  让我们看看这两者的概述:

Vanilla防火墙通常是独立的产品或服务,旨在保护企业网络及其用户,这与内部部署防火墙设备类似,只不过它在云计算中。服务提供商将其称为软件即服务(SaaS)防火墙、安全即服务(SECaaS)或者甚至防火墙即服务(FaaS)。

相比之下,Strawberry防火墙是基于云的服务,它运行在虚拟数据中心中--使用平台即服务(PaaS)或基础设施即服务(IaaS)模型中的服务器。在这些情况下,防火墙应用运行在虚拟服务器,保护云端应用程序之间的流量。行业有时候称其为下一代防火墙,有时候是指在本地或在云中运行的高级防火墙系统。

那么,我们为什么需要这些新的防火墙?为什么不将1U防火墙设备加入到机架中,连接到路由器?理由很简单:因为网络边界的定义已经改变。防火墙以前就像是安全设施入口处的保安。只有授权人员可进入该设施,包裹在进入和离开建筑物时都会进行搜查。此外,你的用户在设施内工作,数据中心和服务器都在内部。因此,保护网络相对简单。里面的事物受到保护,外面不安全,唯一出入方式是通过防火墙。

而现在已经不是这样,授权用户可以再任何地方,用户也可从任何地方访问应用。这些应用可能位于内部数据中心、公共或私有IaaS/PaaS云内企业控制的服务器中,第三方SaaS应用也可能位于云中。只有相对较少的企业流量通过内部路由器,这也是为什么我们需要基于云的vanilla防火墙保护所有用户以及基于云的Strawberry防火墙扩展安全策略到IaaS/PaaS环境的原因。

防火墙即服务

云端vanilla防火墙就像是传统内部防火墙设备,只不过它们是互联网服务提供商或防火墙服务专有SaaS提供商提供(即FaaS提供商)的服务。你可能会为这一服务支付固定费用,或者你可能基于某些因素按月支付费用,例如总体带宽消耗以及可选服务(例如域过滤)。

配置FaaS非常简单。如果这是你的电信运营商提供的附加服务,你可能不需要更改设置或者做任何其他操作。系统管理员会得到仪表板或管理控制台来显示活动,可能让他们选择查看的内容。

如果FaaS是由第三方提供商提供,你可能需要更改路由器设置来连接到该提供商。在某种意义上,它将是你的互联网提供商。

FaaS的优势是你可扩展保护到远程员工或者正在旅行的员工。这些用户将通过安全通道连接到云防火墙提供商,可能是虚拟专用网络(VPN)。这样的话,他们可访问具有企业级防火墙保护的互联网,并可通过该防火墙访问基于云的服务,并连接回企业。总之,这可为远程及旅行的员工提供与内部员工相同的保护。

远程员工支持是FaaS的一个主要优势。另一个优势是,它可将成本从资本支出转移到运营支出,这对于很多企业来说都非常重要。

对于FaaS,你只需要支付你使用部分的费用,你不必购买超出需求的防火墙设备容量以便为最繁忙的时间段做准备。这样的话,你就有过多的内部防火墙容量,特别是当你已经开始迁移服务到云端时。通过关闭这些设备,你基本上将安全外围都外包到更有效的服务。

还有一个好处是,当出现新兴零日威胁或者补丁时,FaaS提供商可快速做出变更,你不需要下载和安装更新。当然,潜在缺点是你完全依靠FaaS提供商来做到这一点。然而,由于大多数服务提供商都有全职安全团队并订阅所有威胁情报服务,可全天候响应,笔者认为他们可比大部分中小企业甚至大型企业更好地保持防火墙更新以及配置正确。

另一个优势是抵御分布式拒绝服务(DDoS)攻击。“在过去,你可能会在互联网末端抵御DDoS,但现实是DDoS攻击可能会淹没你,无论你有多少带宽,”惠普企业数字解决方案和传输团队首席技术官Simon Leech称,“选择云端则不一样,因为云计算提供商有足够的带宽来击退千兆或者TB级的攻击。”

换句话说,任何攻击都将由带宽丰富的FaaS服务器定向和阻止,而不会影响到你自己的互联网连接。最终结果是:FaaS提供商应该可为你提供一个干净的互联网连接。

很多供应商都提供FaaS选项,例如AT&T公司的Managed Firewall Security以及Wedge Networks公司的Cloud Network Defense。笔者个人建议是:大部分中小企业会发现来自电信运营商或者ISP的FaaS产品更容易使用且经济实惠。这些服务提供商可能还与品牌防火墙提供商有合作协议。

针对IaaS/PaaS的防火墙

在云中的虚拟防火墙用于保护你的云基础设施和服务,而FaaS与之完全不同,FaaS旨在保护你的网络边界以及远程或履行最终用户。

在IaaS/PaaS世界,你从服务提供商租用基础设施,你可以在其上创建和管理自己的虚拟服务器。这些服务器可用于存储、托管现成或本地应用、两层或三层网络服务--这完全取决于你。在某些情况下,这些基于云的应用完全独立。在其他情况,它们可能会链接(通过VPN)到数据中心内其他服务器和应用。这里重要的是,这些虚拟服务器完全由你和你的团队管理,这可为你提供最大的灵活性,以及100%的责任。

在这种情况下,则必须使用虚拟防火墙。它们可保护你的云服务器免受来自外部的恶意流量或者攻击,它们还可保护你的云服务器免受其他受攻击服务器的影响,例如在内部攻击或者成功外部攻击的情况下。

而云防火墙是一个应用,你可从云主机或者你喜欢的防火墙供应商获取云防火墙。这些下一代防火墙或者虚拟防火墙以不同方式提供。你可能会看到它们是完全配置的虚拟机,让你可用于云基础设施的前端;或者,它们可能作为二进制文件提供,让你可安装和运行在现有虚拟机中,例如web服务器或者事务数据库服务器。

几乎每个知名防火墙提供商都提供IaaS/PaaS防火墙产品和许可证选项。例如:来自Palo Alto NetworksVM-Series虚拟化下一代防火墙和Zscaler的云计算防火墙。

对于虚拟防火墙,在定义如何配置以及它们所保护的内容方面,你几乎有着无限的选择。你可创建一个防火墙仅保护特定虚拟服务器组或者单台服务器。这里的术语时微分段。与物理数据中心内机架式防火墙设备不同,你可在几秒内改变防火墙配置,只需要点击鼠标或者运行脚本即可。而不需要移动电缆!该防火墙还可通过规则进行分段,基于特定应用或用户角色来保护,而不只是虚拟服务器。

微分段的优势是让你可将安全策略绑定到单个虚拟机。“在软件定义数据中心或者混合云中,每次我配置新的虚拟机时,我都希望虚拟机在配置时有安全策略,”HPE的Leech称,“这样的话,当该虚拟机在云计算网络移动和迁移时,安全策略将跟随它。此外,当虚拟机被卸载时,我希望该安全策略也消失。”

Vanilla还是Strawberry?

· 请记住,当你迁移服务器和应用到IaaS/PaaS的云端时,你并没有转移安全责任。当然,云服务提供商可能会承担部分责任,但他们并不会负责保护你的服务器免受这些虚拟服务器操作系统或应用中的恶意软件、攻击、数据渗出或未修补漏洞。这是你的工作,虽然这一挑战主要是保持软件更新,同样重要的是使用防火墙保护一切。

· 如果你使用内部部署防火墙保护网络,并且远程或旅行用户不受企业级防火墙保护,则可以考虑FaaS。

· 如果你的IaaS/PaaS虚拟服务器仅受云服务提供商的基本安全服务保护,你应该考虑安装和管理自己的虚拟防火墙来保护你的服务。这是你的工作和责任。

本文转自d1net(转载)

时间: 2024-10-28 21:07:50

云安全从了解基于云的防火墙开始的相关文章

基于云的应用会成为信息安全产业催化剂

本文讲的是基于云的应用会成为信息安全产业催化剂,以"互联网安全新思维"为主题的OWASP2011亚洲峰会在11月8日-9日成功举办.本届大会以"网络安全产品测评"."OWASP应用安全技术""业务安全发展新思路""云安全"等多个角度展开深入的讨论.深圳昂楷科技有限公司创始人刘永波先生分享一下数据安全时代的挑战:安全.中国. ▲深圳昂楷科技有限公司创始人刘永波演讲 刘永波谈到,我一直思考信息安全行业发展趋势是

Juniper推出基于云的全球攻击者数据库

 本文讲的是 : Juniper推出基于云的全球攻击者数据库   ,  [IT168 资讯]2月26日消息,RSA2013大会第一天,,瞻博网络就推出了一款全球型数据库用于追踪单独设备上的攻击行为. 瞻博网络的这款产品旨在保护一切,包括个人设备和数据中心.首先推出的这款Spotlight Secure是基于云计算的攻击者数据库. 瞻博网络试图强调Spotlight Secure是唯一的基于云计算的威胁情报服务,它可以从设备上识别攻击者,然后在全球数据库中对其进行追踪.这与仅仅依靠IP地址追踪攻击

如何部署基于云的安全服务

安全即服务属于软件即服务(SaaS),它让企业将网络安全和监控服务托管在公共云或者混合云中,而不需要在企业内部部署设备.为什么要使用云安全服务?与内部部署的网络安全相比,安全即服务有很多优势,其中之一就是降 低成本,因为它没有资金支出,企业可以以每 个用户的订阅形式来购买服务.除了成本,安全即服务易于部署,只需要很少的维护工作,具有可扩展性,并支持移动用户.如果 云服务供应商履行其服务水平协议(SLA),这些基于云的安全服务的可靠性足以取代一些企业内部安全工具.用例对于企业来说,把所有网络安全功

McAfee云安全亮点:基于芯片的安全软件及服务

相信几乎所 有的IT 经理都期望实时了解企业的各种服务器,以及包括台式机.笔记本电脑.移动设备在内的终端,是否遭受恶意软件入侵,是否能够确保它们远离数据丢失及盗窃.这是所有企业安全防护的期望,面对数据保护.数据防泄露.网络的入侵检测以及合规性等一系列的需求,企业需要的是完整的.切实可行的.有效的解决方案.目前在企业信息安全防护思路中,基于云的安全SaaS 解决方案得到了业内广泛的认可,它不仅提供了终端.电子邮件和 Web 保护能力以及强大的漏洞管理,同时也可以提高运营效率.也降低了企业安全运营成

阿卡迈远程访问方案:基于云的新途径

阿卡迈(Akamai)技术公司于近日推出"企业应用程序访问"解决方案.该解决方案旨在为企业提供简化远程和第三方应用程序访问,同时提升企业安全状况的新途径.此外,它没有客户端,是基于云的易管理解决方案,并采用了Akamai在近期收购Soha Systems后所获得的新技术. 移动计算.云和企业数字化生态系统扩展的融合不仅改变了任务关键型应用程序的托管位置,还改变了需要访问这些应用的对象及所用的设备.尽管企业提供应用程序远程访问已有二十年之久,但是对于IT部署和管理而言,流程仍太过复杂和繁

思科推出全新服务和基于云的集成解决方案

北京,2016年7月12日--思科今日宣布推出围绕以威胁为中心的安全架构所打造的全新服务和基于云的安全解决方案.思科 安全产品组合包含一系列精心设计的一流安全解决方案,具备集成.自动化和易于使用等特性,为企业确保其数字化业务模型的安全提供了一种更有效的方法.思科的架构方法能够涵盖从网络到终端再到云,可检测到更多威胁,帮助客户在不到17个小时内修复威胁,远远快于100天的行业标准时间. 随着数字化转型带来更多在线用户.设备与应用,攻击面范围扩大,企业面临着安全防护的严峻挑战.面对更大的活动空间和更

2011年云安全技术盘点之云扫描

早期的安全扫描工具都是由软件或硬件完成的,用户需要购买安装或者搬回去一个盒子调试.而随着安全技术的不断发展,人们渐渐开始将扫描器做成在线模式.摇身一变,"云扫描"了.目前,业内典型的Web应用漏洞检测服务商能够为Web应用系统提供各种漏洞检测,比如SQL注入漏洞.跨站脚本漏洞.CGI漏洞等应用漏洞以及网页挂马检测等等.那整个2011年,又有哪些云扫描服务在我们身边呢?一.安恒信息的51websec安恒的漏扫工具算是国内比较早的一拨了,最近新推了51WebSec,露个脸.498)this

基于云平台架构省级电子政务系统的应用研究

1.云基础 云,作为IT虚拟化和自动化的一个延展,正在为越来越多的人所熟知,云的优势十分明显,首先能够充分利用服务器计算资源,能够合理的分配存储空间,灵活的调度与高可靠性的应用安全与数据安全,可以随时获取,按需使用,自由扩展,获得良好的伸缩性,系统架构的灵活性大大增强. 作为一个省级电子政务平台,跨多个地市区域,整体系统包含省级主干平台及相应的操作组与管理组,还有地市一级的分中心,以及下层的县区节点组成,各个部分都扮演着各自重要的角色,全部的应用平台,系统监控平台与控制平台均汇聚于省中心平台,完

基于区域的防火墙方案如何监测网络环境中内外流量与程序会话

一..背景描述 1.网络环境配置为中心站点shanghai与分支站点nanjing 2.中心站点拥有三个区域:外网区域.内网区域.DMZ区域 3.DMZ区域拥有企业内部服务器(DNS.WEB.Email.FTP)并且通过SSH和HTTPS加密方式进行远程管理 4.中心站点dmz地址池:172.18.100.0/24 中心站点inside地址池:172.18.101.0/24 二.基于区域的防火墙关键配置 如何放行out访问DMZ的正常访问流量? 关键在于如何定义什么是正常的访问流量. DMZ内部