云安全也是很重要的一个方向,当然了,今天开启这一篇的目的是up发现安服仔们需要懂的东西很多,确实不只局限于所谓的设备、漏扫、渗透之类的大家明面上都懂的,持续学习!恰好up所在的项目对云接触很多,那就刚好给各位小师傅们常见的SaaS、PaaS、Iaas做个小解说吧。
-
定义
IaaS:基础设施即服务
什么意思呢?就是只提供硬件,不提供剩余的操作系统、中间件等,毛坯房,只有混凝土和钢构。打个比方,就像大家用的VM其实也可以看作IaaS,把电脑资源看作一个整体,vm可以创建虚拟机,分配计算机硬件资源(CPU、内存、存储),其中主要突出对硬件的利用,你需要的操作系统等自己进行安装。
PaaS:平台即服务
什么意思呢?提供硬件的同时提供了操作系统、中间件、数据库等部分软件服务,就像一个工具箱,想要什么可以自己造。又打个比方,师傅们去网吧开一台机子,网吧预置好了Steam游戏下载助手,steam会员无限畅玩平台,网吧提供了机子(硬件),和steam免费玩下载助手(支撑性软件),你可以自己下载想玩的游戏(自己根据自己的需求构造服务)。
SaaS:软件即服务
什么意思呢?直接一步到位一条龙服务,从硬件到软件到应用一步到位,用户只需要自己管理数据,剩下的代码、搭建、运维等由提供服务方负责。双打个比方,就像大家见到的自助服务机、ATM一类的,本身的底层硬件、操作系统、内置服务等都是现有的,直接为大家提供服务,大家只需要使用而不需要关系其运行、资源需求等。
| 硬件 | 软件 | 应用 | |
| SaaS | √ | √ | √ |
| PaaS | √ | √ | |
| IaaS | √ |
-
云部署
公有云
比较常见的形态,服务提供商如华为、浪潮等都是常见的云服务提供商,提供云资源和公网出口,租户可以根据需要分配业务使用,云服务提供商只负责容器安全,剩下的业务暴露面安全由租户自行负责。云业务规模比较大的,有正在进行数字化转型的政府单位,也有大型对外提供服务的私企,由于需要提供的业务数量众多,且没有足够的场地容纳条件、足够的技术人员提供支撑,公有云是很好的选择
私有云
私有云也是云服务的一种提供形式,只不过把云资源搬到了现场,私有云的本质就是提供了一整套的硬件,有健全的管理机制,租户完全自主对云资源进行运维和直接管理。
服务提供
IaaS就不多赘述了,和以上公有云的文字大差不差,师傅们能理解就好,主要讲讲和安全服务高度相关的SaaS。SaaS化产品是安全厂商提供安全服务的一种形式,up见过的也不算少了,基本上说的出名字的安全设备都有SaaS版本(看厂商啊,不是每家都把自己所有产品都摆云上的),基本上和一个集成的工具箱差不多,不需要管理底层,不需要对其中的安全设备进行运维,只关注其功能和数据。部署方式基本以直接接入为主,绝大部分情况下是防护暴露面资产,当然也有特殊情况,up也碰到过有特殊需求,将网络打通一路代理到内网的,也有,这个也算是一个安全产品需求趋势吧,减少了麻烦,不需要再关注设备的状态了,一般都有厂商云检测,出问题会有实时告警。
-
DaaS
数据即服务。
之所以没把DaaS也放入标题是因为这个概念还太新,不止up对这个东西一知半解,在公众的讨论中仍然是存在争议的,放上来给各位师傅们了解了解而已,up就按照自己的理解给大家讲一讲了。数据作为关键词,在参考了深某服社区的帖子后我得出的一个大概的理解是,上述IaaS、PaaS、SaaS虽然分层明确,但注重提供的是服务,用户得到的是解决方案,但DaaS想提供的是结论,一个在起点,一个想直接到终点。拿ChatGPT举例吧,open AI提供的调用接口也算得上DaaS,开发者获取到的是训练大模型后得到的数据再分析得出的结论,我提出问题即可得到答案,不需要实际去解决问题(不需要分析数据),粗俗点嘛,大家越来越图方便了。
-
云安全
看似老生常谈,实则好像没什么人真的了解啥是云安全。云安全的主要焦虑来自数据安全性,毕竟从网络连接到云端需要过一手,不像普通内网结构只需要防御来自外部的威胁,大部分帖子也是在瞎讲概念,废话连篇,up只提出两个问题给师傅们思考吧,就不在这方面废话太多了:
①公有云部署业务模式下,如何实现数据安全隔离?
②如何保证云服务接入过程的安全?
诚邀您关注一己之见安全团队公众号!我们会不定期发布网络安全技术分享和学习笔记,您的关注就是给予我们最大的动力!
