云环境中如何管理及自动化防火墙？

管理员能够轻松地编写简单脚本，定期调用“ec2-describe-group”命令并将输出的数据导入到一个文件用于分析和报告。脚本每小时或每天运行一次以验证结果，观察安全组状态是否发生了变化。此文件的输出包含安全组名称和ID、亚马逊账户ID（即安全组的所有者）、安全组描述、安全组关联的规则，在适当的时候还会显示VPC组的名称。如果一个新的规则获得批准，“ec2-authorize”命令可用于编写在指定窗口切换中自动执行的脚本。而“ec2-revoke”命令也可以用来自动删除规则，只需要指定组ID及规则属性。API自动化可以借助厂商提供的业务流程编排工具（orchestration tools）来简化这一过程，比如RightScale,或者诸如Eucalyptus以及OpenStack这样的云管理框架。

来自于其他云厂商的更加自动化的防火墙正在以他们的方式进入市场。以Rackspace公司为例，目前为客户提供来自Vyatta的防火墙设备，这些设备允许命令行访问和脚本功能。一些传统的防火墙厂商也已经采用了亚马逊的虚拟设备模型，例如，当前客户正使用Check Point软件科技公司的SmartConsole,通过在已有的管理面板中添加AWS设备作为另一个节点来管理防火墙及规则。

云防火墙自动化

为了实现更加灵活和可脚本化的API访问，越来越多的企业利用诸如Puppet和Chef这样的自动 化工具包。Dome9在AWS上提供SecOps服务，它是一种允许客户从SaaS后台监视和管理所有的EC2安全组的完整产品，为企业使用的所有亚马逊区域和账户提供统一的报告。

一个试图在其云防火墙平台中实现更多自动化的企业应当考虑一些注意事项，包括但不限于以下内容：

· 什么防火墙可用于云厂商环境中？这些厂商是否拥有传统防火墙设备用于云防火墙实现？通常在私有云中，诸如Juniper vGW或者思科ASA 1000V防火墙设备为实现云防火墙可能需要支付额外的费用。大多数公有云厂商的客户将被降级到厂商的传统防火墙产品。

· 当前的防火墙是否提供命令行和/或API访问？如果是，这预示着具备了脚本支持，以及自动化与业务流程编排工具的集成支持。

· 你的云管理工具（如OpenStack）是否提供与你的云厂商的原生API相集成的功能？对于许多工具来说，AWS集成是广受欢迎的集成方案，但是该方案对其他云厂商的产品只有微弱的支持。

· 你能否实现和使用诸如Puppet and Chef这样的自动化工具包来自动化防火墙管理工作？这些工具是经过专门的设计以满足此类功能，并且在实现上是灵活的。请记住实现此类工具需要额外的策略和流程以保证任何脚本的变更均经过已批准的变更控制及审查流程。

· 使用新的基于云的防火墙产品来增强甚至取代当前防火墙策略和流程是否有意义？比如尤其是当需要诸如文件完整性监控和配置管理等额外的终端安全功能时，一个基于主机的云防火墙产品可以使一些企业变得更加有意义。像那些来自Dome9的工具还可以通过以SaaS形式提供一个基于云的管理面板和控制中心来简化管理工具的安装。

未来更多的云防火墙方案

除了新的SaaS产品，未来云防火墙管理和自动化所面临的最大变数将出现在变更控制和远程脚本访问防火墙规则库和数据等领域。管理员和运营团队将需要优化他们的流程以确保进行更加频繁的规则验证，规则的变更很可能需要引入新的方法，即便其可能无法与现有的内部防火墙工具很好地集成。随着时间的推移，可能会出现与领导厂商的更高水平的集成案例，但是在今天企业试图为所有的内部防火墙和云防火墙的控制和数据创建单一的管理架构仍有尚待填补的空白。