現(xiàn)今有許多基于云服務(wù)提供的安全，包括Web和郵件過濾、網(wǎng)絡(luò)流量訪問控制和監(jiān)控以及用于支付卡業(yè)務(wù)的標記化。不同安全服務(wù)的一個重要區(qū)別是“在云中”的、或“為了云”的，即那些集成到云環(huán)境中作為虛擬設(shè)備提供給用戶使用和控制的安全服務(wù)。安全即服務(wù)(SaaS)，是為了確保其他云服務(wù)提供商傳輸流量和數(shù)據(jù)通過。在本文中，我們將集中關(guān)注基于云的Web應(yīng)用過濾和監(jiān)控以及DDoS攻擊預防服務(wù)，并可能提供兩者的模型。

Web應(yīng)用防火墻

目前可以提供幾種類型的基于云的Web應(yīng)用防火墻(WAF)服務(wù)。第一類屬于“在云中的安全”，使用當前硬件和基于軟件的WAF提供虛擬設(shè)備，在云服務(wù)提供商環(huán)境中，作為平臺服務(wù)(Platform as a Service 、PaaS)和基礎(chǔ)設(shè)施服務(wù)(Infrastructure as a Service 、IaaS)使用。這些廠商包括Imperva公司和Art of Defence 公司，同時，像知名的云環(huán)境Amazon 的EC2、GoGrid和Terremark也可以提供服務(wù)。一般實施這些虛擬設(shè)備的費用比較合理，且為云服務(wù)客戶提供非常寶貴的能力，如針對常見Web應(yīng)用攻擊附加的過濾，對有限的行為進行分析。許多數(shù)據(jù)泄漏都源于SQL注入或類似的攻擊，因此這是一項應(yīng)該進行研究的服務(wù)，特別是對于處理敏感數(shù)據(jù)的云設(shè)備。不過，性能可能會受到影響，因此需要具備十分高性能的設(shè)備。

在任何WAF設(shè)備上徹底啟用規(guī)則集前，進行重要的測試。

Art of Defence有些獨特，因為它在EC2云中負責所有的WAF服務(wù)，使Amazon的顧客實施起來非常簡單。此外，Amazon向那些不愿意自己專門管理一臺WAF虛擬設(shè)備的AWS(Amazon Web Service)的客戶提供Citrix公司的NetScaler產(chǎn)品的WAF。

服務(wù)提供商們已經(jīng)創(chuàng)建了多個安全服務(wù)，作為“用于云的安全”的WAF交付。Imperva公司已經(jīng)創(chuàng)辦名為Incapsula的基于云的WAF服務(wù)公司，主要針對那些想走捷徑、通過WAF管理Web應(yīng)用流量，而不是在公司內(nèi)或在云環(huán)境管理一臺設(shè)備的中小企業(yè)。開始只需要改變一些DNS設(shè)置，而且看來Incapsula公司主要關(guān)注于偵測和預防基于Web的主要威脅和問題，包括SQL注入、跨站點腳本攻擊(XSS)和其它OWASP排名前10的漏洞，還包括關(guān)注于內(nèi)容緩存和減少流量開銷方面。

從2009年以來，Akamai科技有限公司一直提供基于云的WAF能力，開始時，它提供基于開源的ModSecurity WAF平臺的應(yīng)用過濾，盡管進行了定制化來運行在Akamai的Edge平臺網(wǎng)絡(luò)上。目前它的能力包括IP地址白名單和黑名單，還有定制化的規(guī)則來偵測和阻擋協(xié)議異常、SQL注入和XSS攻擊、內(nèi)容泄漏和其它安全破壞。Akamai公司最近宣布，他們會和Qualys及其它公司在新的開源WAF項目上進行合作。

DDoS攻擊預防

對于DDoS預防，有幾家“在云中”的服務(wù)提供商可供選擇，像Terremark、Rackspace和NaviSite公司。用戶可以把DDoS預防作為附加的管理服務(wù)，并將它添加到云管理規(guī)劃中。DDoS預防服務(wù)在價格和范圍上不等，這取決于需要的定制化水平。對于簡單的冗余和DNS“防護”服務(wù)來說費用通常很少，但是對于擁有大量站點和虛擬主機的客戶來說費用會增加，因為服務(wù)提供商的運營開銷增加了。大多數(shù)的顧客不需要DDoS預防，但是那些有嚴格的正常運行時間需求、或者是容易遭受DDoS攻擊的組織應(yīng)該評估，看看這些服務(wù)在云管理環(huán)境中是否可用且可滿足他們特定的需要。

其他公司提供“用于云安全”的DDoS預防，云服務(wù)的客戶或者自我管理數(shù)據(jù)的客戶，能通過他們的基礎(chǔ)設(shè)施來發(fā)送流量，進行監(jiān)控和管理。Akamai公司提供被稱為DDoS防護的服務(wù)，包括DNSSEC、流量優(yōu)化、帶寬控制、Web加速、服務(wù)器公網(wǎng)偽裝及其它功能。另一家提供基于云的DDoS預防的公司是DOSarrest。它的代理防護和個性化服務(wù)為站點提供DDoS“緩存”，當顧客遭受攻擊時，可非常有效地處理流量和控制帶寬。對于像eBay、Amazon和其它高訪問量的站點來說，這是一個重要的安全交付，因為DDoS攻擊對于合作的攻擊者來說是小事一樁，并且能有效地讓基于Web的業(yè)務(wù)停止一段時間。

基于云的WAF和DDoS預防服務(wù)在安全實施的便捷性方面，是向前的一步。WAF產(chǎn)品傳統(tǒng)上被看作是非常難實施和管理的。使用虛擬設(shè)備簡化集成和外包大部分的運營配置，為云服務(wù)提供商的員工管理是非常有意義的，可以減少費用和專門的技術(shù)人員。DDoS預防是一項高度專業(yè)化的安全能力，對處在云模型中的顧客來說變得更加觸手可得，并且能從云平臺和數(shù)據(jù)中心天生的可擴展性和冗余性中受益。