云环境中如何管理及自动化防火墙？

来源：CIO时代网

2014/3/31 9:55:05

几年前，许多从事于安全和网络的管理员对于缺乏像样的云防火墙技术表示失望。在当时大多数公有云防火墙充其量算是初级产品，它们在管理或合理的安全配置方面只能提供极少的控制权。

几年前，许多从事于安全和网络的管理员对于缺乏像样的云防火墙技术表示失望。在当时大多数公有云防火墙充其量算是初级产品，它们在管理或合理的安全配置方面只能提供极少的控制权。如今值得庆幸的是，通过在云基础设施中添加可用于创建、运行基于网络和基于主机的云防火墙的新方案，上述情况已经发生了变化。

对于大多数企业来说，如今更大的挑战可能是对这些系统实施远程管理和监控，以及尽可能地将此过程自动化。幸运的是，一些云服务商正致力于将云防火墙管理变得比以往更简单，大量自动化框架及平台也常常能够对规则管理和监控予以帮助。如何实现？我们将在下文中展开讨论。

基于主机的云防火墙管理

对于那些寻求基于主机的云防火墙管理的企业而言，有大量的可选方案。在基础设施即服务（IaaS）环境下，企业可以直接安装厂商代理的任何产品，这些产品可能是企业正在使用的，包括迈克菲公司、赛门铁克公司及其他公司的产品。像这样的厂商中许多也有能力支撑起云管理后台。这些产品一经安装到IaaS实例中，现有的或虚拟的设备管理平台即可对其进行监控。

在这个领域中，新方案不断涌现，正被诸如CloudPassage和Dome9 Security这样的厂商推向市场，两家公司都以软件即服务（SaaS）的方式提供IaaS云防火墙管理服务。这些服务可以提高云系统在实施、控制以及资源利用率方面的效率。在某些情况下，基于网络的云防火墙可能无法在公有云环境中使用，这就将安全交给了可以通过云后台控制面板进行配置和管理的基于主机的云防火墙来控制。然而，这些服务可能无法在网络环境中提供目前使用的所有功能，并且迁移至一种云服务模型可能需要额外的规划和配置变更。

基于网络的云防火墙方案

尽管基于主机的云防火墙管理看起来似乎成熟了，但大部分企业依旧挣扎在开发和维护基于网络的云防火墙规则库的泥潭里。部分问题是由于云服务商自有防火墙缺乏足够的管理粒度和性能，但其他的挑战往往产生于在IaaS环境中制定一项可以很容易紧跟线速防火墙及其复杂规则库的自动化策略。

企业可选的一种方案是简单且易于管理的亚马逊弹性计算云（EC2）内置网络防火墙，它可以通过命令行和应用程序接口（API）的访问来实现管理控制和自动化控制。EC2的防火墙规则是通过一种称为安全组（Security Groups）的方式来创建。该组支持协议、端口、因特网控制消息协议的类型和代码、源地址、目标地址以及安全组名称/标识符，这些将用于方便地访问和修改EC2中的个别安全组以及规则。虽然标准的安全组仅支持入站流量过滤规则，但是亚马逊虚拟私有云（VPC）服务还支持出站规则。

许多命令和API调用可用于EC2的安全组中，它们可以灵活作用于新的安全组和规则的创建以及规则的删除，同时也灵活作用于与EC2实例关联的安全组及规则的变更。关于这些命令的举例如下：

· ec2-create-group:创建一个新的安全组（相当于API调用CreateSecurityGroup）

· ec2-authorize:添加规则到安全组（相当于API调用包括AuthorizeSecurityGroupIngress和AuthorizeSecurityGroupEgress作为VPC规则）

· ec2-describe-group:列出安全组及其属性（相当于API调用DescribeSecurityGroups）

· ec2-modify-instance-attribute:对于VPC服务，此命令可以修改一个实例将其与一个或多个安全组相关联（相当于API调用ModifyInstanceAttribute）

· ec2-revoke:从安全组中删除规则（相当于API调用RevokeSecurityGroupIngress）

· ec2-delete-group:删除一个安全组（相当于API调用DeleteSecurityGroup）

责编：李玉琴