幾年前,許多從事于安全和網(wǎng)絡的管理員對于缺乏像樣的云防火墻技術(shù)表示失望。在當時大多數(shù)公有云防火墻充其量算是初級產(chǎn)品,它們在管理或合理的安全配置方面只能提供極少的控制權(quán)。如今值得慶幸的是,通過在云基礎(chǔ)設(shè)施中添加可用于創(chuàng)建、運行基于網(wǎng)絡和基于主機的云防火墻的新方案,上述情況已經(jīng)發(fā)生了變化。
對于大多數(shù)企業(yè)來說,如今更大的挑戰(zhàn)可能是對這些系統(tǒng)實施遠程管理和監(jiān)控,以及盡可能地將此過程自動化。幸運的是,一些云服務商正致力于將云防火墻管理變得比以往更簡單,大量自動化框架及平臺也常常能夠?qū)σ?guī)則管理和監(jiān)控予以幫助。如何實現(xiàn)?我們將在下文中展開討論。
基于主機的云防火墻管理
對于那些尋求基于主機的云防火墻管理的企業(yè)而言,有大量的可選方案。在基礎(chǔ)設(shè)施即服務(IaaS)環(huán)境下,企業(yè)可以直接安裝廠商代理的任何產(chǎn)品,這些產(chǎn)品可能是企業(yè)正在使用的,包括邁克菲公司、賽門鐵克公司及其他公司的產(chǎn)品。像這樣的廠商中許多也有能力支撐起云管理后臺。這些產(chǎn)品一經(jīng)安裝到IaaS實例中,現(xiàn)有的或虛擬的設(shè)備管理平臺即可對其進行監(jiān)控。
在這個領(lǐng)域中,新方案不斷涌現(xiàn),正被諸如CloudPassage和Dome9 Security這樣的廠商推向市場,兩家公司都以軟件即服務(SaaS)的方式提供IaaS云防火墻管理服務。這些服務可以提高云系統(tǒng)在實施、控制以及資源利用率方面的效率。在某些情況下,基于網(wǎng)絡的云防火墻可能無法在公有云環(huán)境中使用,這就將安全交給了可以通過云后臺控制面板進行配置和管理的基于主機的云防火墻來控制。然而,這些服務可能無法在網(wǎng)絡環(huán)境中提供目前使用的所有功能,并且遷移至一種云服務模型可能需要額外的規(guī)劃和配置變更。
基于網(wǎng)絡的云防火墻方案
盡管基于主機的云防火墻管理看起來似乎成熟了,但大部分企業(yè)依舊掙扎在開發(fā)和維護基于網(wǎng)絡的云防火墻規(guī)則庫的泥潭里。部分問題是由于云服務商自有防火墻缺乏足夠的管理粒度和性能,但其他的挑戰(zhàn)往往產(chǎn)生于在IaaS環(huán)境中制定一項可以很容易緊跟線速防火墻及其復雜規(guī)則庫的自動化策略。
企業(yè)可選的一種方案是簡單且易于管理的亞馬遜彈性計算云(EC2)內(nèi)置網(wǎng)絡防火墻,它可以通過命令行和應用程序接口(API)的訪問來實現(xiàn)管理控制和自動化控制。EC2的防火墻規(guī)則是通過一種稱為安全組(Security Groups)的方式來創(chuàng)建。該組支持協(xié)議、端口、因特網(wǎng)控制消息協(xié)議的類型和代碼、源地址、目標地址以及安全組名稱/標識符,這些將用于方便地訪問和修改EC2中的個別安全組以及規(guī)則。雖然標準的安全組僅支持入站流量過濾規(guī)則,但是亞馬遜虛擬私有云(VPC)服務還支持出站規(guī)則。
許多命令和API調(diào)用可用于EC2的安全組中,它們可以靈活作用于新的安全組和規(guī)則的創(chuàng)建以及規(guī)則的刪除,同時也靈活作用于與EC2實例關(guān)聯(lián)的安全組及規(guī)則 的變更。關(guān)于這些命令的舉例如下:
· ec2-create-group:創(chuàng)建一個新的安全組(相當于API調(diào)用CreateSecurityGroup)
· ec2-authorize:添加規(guī)則到安全組(相當于API調(diào)用包括AuthorizeSecurityGroupIngress和AuthorizeSecurityGroupEgress作為VPC規(guī)則)
· ec2-describe-group:列出安全組及其屬性(相當于API調(diào)用DescribeSecurityGroups)
· ec2-modify-instance-attribute:對于VPC服務,此命令可以修改一個實例將其與一個或多個安全組相關(guān)聯(lián)(相當于API調(diào)用ModifyInstanceAttribute)
· ec2-revoke:從安全組中刪除規(guī)則(相當于API調(diào)用RevokeSecurityGroupIngress)
· ec2-delete-group:刪除一個安全組(相當于API調(diào)用DeleteSecurityGroup)
管理員能夠輕松地編寫簡單腳本,定期調(diào)用“ec2-describe-group”命令并將輸出的數(shù)據(jù)導入到一個文件用于分析和報告。腳本每小時或每天運行一次以驗證結(jié)果,觀察安全組狀態(tài)是否發(fā)生了變化。此文件的輸出包含安全組名稱和ID、亞馬遜賬戶ID(即安全組的所有者)、安全組描述、安全組關(guān)聯(lián)的規(guī)則,在適當?shù)臅r候還會顯示VPC組的名稱。如果一個新的規(guī)則獲得批準,“ec2-authorize”命令可用于編寫在指定窗口切換中自動執(zhí)行的腳本。而“ec2-revoke”命令也可以用來自動刪除規(guī)則,只需要指定組ID及規(guī)則屬性。API自動化可以借助廠商提供的業(yè)務流程編排工具(orchestration tools)來簡化這一過程,比如RightScale,或者諸如Eucalyptus以及OpenStack這樣的云管理框架。
來自于其他云廠商的更加自動化的防火墻正在以他們的方式進入市場。以Rackspace公司為例,目前為客戶提供來自Vyatta的防火墻設(shè)備,這些設(shè)備允許命令行訪問和腳本功能。一些傳統(tǒng)的防火墻廠商也已經(jīng)采用了亞馬遜的虛擬設(shè)備模型,例如,當前客戶正使用Check Point軟件科技公司的SmartConsole,通過在已有的管理面板中添加AWS設(shè)備作為另一個節(jié)點來管理防火墻及規(guī)則。
云防火墻自動化
為了實現(xiàn)更加靈活和可腳本化的API訪問,越來越多的企業(yè)利用諸如Puppet和Chef這樣的自動化工具包。Dome9在AWS上提供SecOps服務,它是一種允許客戶從SaaS后臺監(jiān)視和管理所有的EC2安全組的完整產(chǎn)品,為企業(yè)使用的所有亞馬遜區(qū)域和賬戶提供統(tǒng)一的報告。
一個試圖在其云防火墻平臺中實現(xiàn)更多自動化的企業(yè)應當考慮一些注意事項,包括但不限于以下內(nèi)容:
· 什么防火墻可用于云廠商環(huán)境中?這些廠商是否擁有傳統(tǒng)防火墻設(shè)備用于云防火墻實現(xiàn)?通常在私有云中,諸如Juniper vGW或者思科ASA 1000V防火墻設(shè)備為實現(xiàn)云防火墻可能需要支付額外的費用。大多數(shù)公有云廠商的客戶將被降級到廠商的傳統(tǒng)防火墻產(chǎn)品。
· 當前的防火墻是否提供命令行和/或API訪問?如果是,這預示著具備了腳本支持,以及自動化與業(yè)務流程編排工具的集成支持。
· 你的云管理工具(如OpenStack)是否提供與你的云廠商的原生API相集成的功能?對于許多工具來說,AWS集成是廣受歡迎的集成方案,但是該方案對其他云廠商的產(chǎn)品只有微弱的支持。
· 你能否實現(xiàn)和使用諸如Puppet and Chef這樣的自動化工具包來自動化防火墻管理工作?這些工具是經(jīng)過專門的設(shè)計以滿足此類功能,并且在實現(xiàn)上是靈活的。請記住實現(xiàn)此類工具需要額外的策略和流程以保證任何腳本的變更均經(jīng)過已批準的變更控制及審查流程。
· 使用新的基于云的防火墻產(chǎn)品來增強甚至取代當前防火墻策略和流程是否有意義?比如尤其是當需要諸如文件完整性監(jiān)控和配置管理等額外的終端安全功能時,一個基于主機的云防火墻產(chǎn)品可以使一些企業(yè)變得更加有意義。像那些來自Dome9的工具還可以通過以SaaS形式提供一個基于云的管理面板和控制中心來簡化管理工具的安裝。
未來更多的云防火墻方案
除了新的SaaS產(chǎn)品,未來云防火墻管理和自動化所面臨的最大變數(shù)將出現(xiàn)在變更控制和遠程腳本訪問防火墻規(guī)則庫和數(shù)據(jù)等領(lǐng)域。管理員和運營團隊將需要優(yōu)化他們的流程以確保進行更加頻繁的規(guī)則驗證,規(guī)則的變更很可能需要引入新的方法,即便其可能無法與現(xiàn)有的內(nèi)部防火墻工具很好地集成。隨著時間的推移,可能會出現(xiàn)與領(lǐng)導廠商的更高水平的集成案例,但是在今天企業(yè)試圖為所有的內(nèi)部防火墻和云防火墻的控制和數(shù)據(jù)創(chuàng)建單一的管理架構(gòu)仍有尚待填補的空白。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839713303.html