云安全也是一个非常重要的领域。今天开启这一篇的目的是因为up发现安服仔们需要掌握的知识面很广,远不止大家熟知的设备、漏洞扫描和渗透测试这些。持续学习是非常必要的!恰好up所在的项目与云技术接触较多,所以就给大家详细解说一下常见的SaaS、PaaS、IaaS。
IaaS:基础设施即服务
什么意思呢?就是只提供硬件资源,不提供操作系统、中间件等其他软件服务,就像毛坯房,只有混凝土和钢结构。打个比方,VM也可以看作IaaS,它将计算机资源作为一个整体,创建虚拟机,分配硬件资源(如CPU、内存、存储),主要强调对硬件的利用,用户需要自己安装操作系统等软件。
PaaS:平台即服务
什么意思呢?提供硬件的同时,还提供了操作系统、中间件、数据库等部分软件服务,就像一个工具箱,用户可以根据需要自行构建应用。打个比方,师傅们去网吧开一台电脑,网吧已经预置好了Steam游戏下载助手和Steam会员无限畅玩平台,网吧提供了硬件(电脑)和支撑性软件(Steam下载助手),用户可以自行下载想要玩的游戏(根据自己的需求构建服务)。
SaaS:软件即服务
什么意思呢?直接提供从硬件到软件再到应用的一条龙服务,用户只需管理数据,其他如代码、搭建、运维等由服务提供方负责。打个比方,就像大家见到的自助服务机和ATM,它们的底层硬件、操作系统和内置服务都是现成的,直接为用户提供服务,用户只需使用即可,不需要关心其运行和资源需求。
| 硬件 | 软件 | 应用 | |
|---|---|---|---|
| SaaS | √ | √ | √ |
| PaaS | √ | √ | |
| IaaS | √ |
云部署
公有云
公有云是比较常见的形态,服务提供商如华为、浪潮等都是常见的云服务提供商,提供云资源和公网出口,租户可以根据需求分配业务使用。云服务提供商只负责容器安全,业务暴露面安全由租户自行负责。云业务规模较大的,有正在进行数字化转型的政府单位,也有大型对外提供服务的私企。由于需要提供的业务数量众多,且没有足够的场地容纳条件和技术人员支持,公有云是一个很好的选择。
私有云
私有云也是云服务的一种提供形式,只不过将云资源搬到了现场。私有云的本质是提供了一整套的硬件,并有健全的管理机制,租户完全自主对云资源进行运维和直接管理。
服务提供
IaaS就不再赘述了,和以上公有云的描述大同小异,师傅们理解即可。主要讲讲与安全服务高度相关的SaaS。SaaS化产品是安全厂商提供安全服务的一种形式,up见过的也不少了,基本上所有知名的安全设备都有SaaS版本(这取决于厂商,不是每家都将所有产品都部署到云上)。SaaS就像一个集成的工具箱,不需要管理底层,不需要对其中的安全设备进行运维,只需关注其功能和数据。部署方式基本以直接接入为主,绝大部分情况下是保护暴露面资产,当然也有特殊情况,up也遇到过将网络打通并代理到内网的需求,这也是一种安全产品需求趋势,减少了麻烦,不需要再关注设备的状态,一般都有厂商云检测,出问题会有实时告警。
DaaS:数据即服务
之所以没把DaaS放入标题是因为这个概念还比较新,不仅up对这个东西一知半解,在公众讨论中仍然存在争议,这里只是给大家了解一下。up根据自己的理解给大家讲一讲。数据作为关键词,在参考了深某服社区的帖子后,我得出的一个大概理解是,上述IaaS、PaaS、SaaS虽然分层明确,但注重提供的是服务,用户得到的是解决方案,而DaaS想提供的是结论,一个在起点,一个想直接到终点。拿ChatGPT举例,open AI提供的调用接口也算得上DaaS,开发者获取到的是训练大模型后得到的数据再分析得出的结论,提出问题即可得到答案,不需要实际去解决问题(不需要分析数据)。粗俗点说,大家越来越图方便了。
云安全看似老生常谈,实则好像没什么人真的了解啥是云安全。云安全的主要焦虑来自数据安全性,毕竟从网络连接到云端需要经过一手,不像普通内网结构只需要防御来自外部的威胁。大部分帖子都是在瞎讲概念,废话连篇,up只提出两个问题给师傅们思考吧,就不在这方面废话太多了:
①公有云部署业务模式下,如何实现数据安全隔离?
②如何保证云服务接入过程的安全?
总结:up累了,今天没有总结。
