如今，有不少的組織正在尋求包括身份管理、加密和訪問控制等在內的企業(yè)級安全功能，同時又想擁有云所帶來的成本和靈活性優(yōu)勢，那么它們就應該考察一下一些廠商所提供的SaaS" style="font-family: Arial, Helvetica, sans-serif; font-size: 14px; line-height: 26px; text-indent: 26px; color: rgb(0, 0, 0); text-decoration: none; border-bottom-color: rgb(7, 129, 199); border-bottom-width: 1px; border-bottom-style: dotted; " target="_blank" title="SaaS的最新文章">SaaS(security-as-a-service，安全即服務的最新文章">安全即服務)產品或解決方案。

在此場景中，安全是作為一種云服務來交付的，而無須組織或企業(yè)自己購買相關硬件。Gartner的一位跟蹤安全市場的研究經理Lawrence Pingree認為，“采用安全即服務的最大好處之一就是省去了大量的資本支出。”

除此之外，Pingree說，一些云安全服務還提供了解決某些實際案例所需的靈活性。例如郵件過濾服務很受歡迎，就是因為一些移動設備平臺性能有限，無法運行端點保護產品。

其他用例還包括病毒防范、漏洞管理、身份管理和單點登錄等。Gartner預測，云安全服務市場將從2012年的19億美元增長至2016年的42億美元，年復合增長率為23%。

下面我們就來看看三家企業(yè)如何將云安全服務集成到其IT基礎設施中，以及如何利用外部組織所提供的云安全服務以避免服務中斷、數據泄露和其他風險的。

可提供安全即服務的廠商

如今可提供安全即服務的廠商越來越多。這里只列出了幾家已可提供安全即服務的廠商。

● CA科技的CA CloudMinder提供一組托管的云安全服務，包括身份和訪問管理(IAM)。CloudMinder服務基礎設施由CA托管并監(jiān)控。

● Qualy的QualyGuard是一個按需提供的漏洞管理、政策遵從和資產管理系統。

● 賽門鐵克的O3云身份及訪問控制是一個云平臺，可提供訪問控制、信息安全和信息管理服務。該服務可在任意Web應用中單點登錄。

● Symplified提供聯邦式單點登錄、身份和訪問管理服務。

郵件連續(xù)性和病毒防范

為了讓企業(yè)免遭惡意軟件攻擊，云服務通常被認為是安全提供商在向其客戶發(fā)送信息時，“兼具集中分發(fā)和靈活性于一身的理想方式”，Pingree稱。對于某些客戶來說，它尤其適用，因為客戶們可以依靠云服務廠商來更新惡意軟件的定義，而無須客戶企業(yè)自己來做。

企業(yè)托管服務廠商Sirva自2009年起便一直在使用云服務。Sirva所部署的正是賽門鐵克的郵件連續(xù)性(Email Continuity)云服務，這是一個備用的郵件故障切換系統，可在郵件服務器宕機時也能不間斷地訪問郵件。

在未來數年內，Sirva還將采用其他的云服務，如Websense的網頁封鎖(URL-blocking)應用，以及白帽安全公司的滲透測試服務等。

據Sirva的合同與解決方案交付經理Adam Diab說，到今年3月底，Sirva還將開始使用微軟的Office 365云服務，該服務自帶了一些安全功能，如反垃圾郵件、防病毒、身份管理和郵件加密等。

Adam Diab

Diab稱，采用安全即服務和其他IT功能即服務模式的最大驅動力就是為了削減成本。Diab說，企業(yè)自采的軟硬件成本正在逐漸增加。舉例來說，該公司的很多IT供應商一直都在收取災難恢復(DR)服務費，哪怕Sirva幾乎很少會用到這些服務。

Diab稱，大多數時間“它們都要求我們?yōu)椴⑽词褂玫姆崭顿M”，所以Sirva開始尋找只在實際使用時才付費的DR服務。

Diab稱，各類云應用，包括安全服務，要比通過傳統許可證方式購買的軟件節(jié)省約25%的成本。除了成本節(jié)約之外，Sirva還因為像軟硬件補丁、系統中斷備份等內部支持費用——這些工作如今都成了廠商自己的工作——減少而獲益。

與此同時，該公司還逐漸淘汰了部分陳舊的服務器，將一些應用遷移到了云中。Diab認為，云服務的成熟度已不是問題，實際上很多云服務在全球范圍內提供高性能服務方面已被證明是可靠的，這些服務在企業(yè)向海外擴展其運營，并尋求托管服務的標準化方面日漸重要。

Tickr.com是一家向客戶銷售社交媒體分析技術的公司，其技術可允許客戶在社交網站上跟蹤公眾對企業(yè)及其產品的評價。Tickr.com在2012年初開始使用Symplified用于身份管理和單點登錄的安全即服務產品。作為其產品研發(fā)進程的一個部分，Tickr.com還需要提供對自己的一些專利應用以及谷歌Apps和Salesforce.com的安全訪問，Tickr.com商業(yè)研發(fā)副總裁Bobby Mukherjee說。

Bobby Mukherjee

Mukherjee解釋道，為開發(fā)人員提供對各類應用更快捷的訪問對于該公司來說尤為關鍵，因為它需要迅速地將這些應用轉化為新的產品發(fā)布出去。而利用Symplified的服務，“我就能夠簡化我的用戶對基于云的或內部應用的訪問，而且比市場上的其他方法更安全。該解決方案還很容易與我們已經在使用的其他Web和SaaS應用集成。它有直觀的管理界面，很容易做配置更改。”

而在此之前，“我們不得不高薪聘請工程師花費大塊的時間在多個關鍵應用上登錄/登出，跟蹤用戶的密碼成了他們日常工作的一部分。”

工程師們要花費大約十分之一的時間用于處理應用的登錄、密碼和安全問題。“這對我們來說是非常煩人而且代價昂貴的，所以我們開始尋找單點登錄安全解決方案，”這種方案可極大地簡化授權訪問過程，而同時又能維持較高的安全等級，Mukherjee說。

Tickr決定采用Symplified的云服務。之前Tickr就已經對不少的應用，如郵件和CRM等采用過幾種云服務，也已經看到了云服務所帶來的成本節(jié)約和更大靈活性的好處。Mukherjee認為，“云是個好東西，因為它具有經濟性。你可以只買你需要的東西。”

在過去幾年間，隨著公司的不斷發(fā)展，Tickr已能夠輕松快捷地添加email賬戶和CRM應用的用戶賬戶。由于可以精準地只在有需要時購買公司所需要的服務，Tickr大大降低了整體的技術成本，也包括維護費用的下降。

該公司是在2012年3月開始使用Symplified的安全即服務的，并預計與購買傳統的內部軟件許可證相比，同樣會帶來時間和成本上的節(jié)約。

Mukherjee認為，安全即服務的另一個好處是易用性。單點登錄和身份管理能力無須對終端用戶進行培訓。“如果必須培訓的話，人們有可能會采取抵制態(tài)度。關鍵是要節(jié)省時間，所以這種服務必須是相當高效的。”

基于云的漏洞管理

寬帶通信及娛樂公司Cox通信對兩種安全即服務產品更為倚重。一是漏洞管理，一是應用安全的動靜態(tài)分析，該公司的安全工程經理Jay Munsterman說。

Munsterman解釋說，所謂靜態(tài)分析就是對源代碼或二進制代碼的自動審查，而動態(tài)分析則針對的是正在運行中的Web應用。

Munsterman說，“兩種服務都為我們提供了對云中更成熟資源的訪問，與企業(yè)內部的資源相比，這種訪問更快更便宜。利用云服務，我們就可以同步應對各種新出現的威脅，不至于手忙腳亂。”

云應用功能齊全，而且多數皆可在一天內完全配置好，Munsterman說。“我們因此而省去了較長的部署/配置過程。”至于費用，這些云服務雖然“并不便宜，但我不需要再雇傭維護人員了，這就是收益。”

當然，關于云的安全問題還是會有一些保留的，Munsterman說，尤其是要把公司的知識產權和漏洞信息托管給Cox數據中心圍墻以外的第三方之時。

“我們很熟悉各類業(yè)務流程的外包概念，這也是多年來的一種行業(yè)標準，”Munsterman解釋道。“但是安全功能卻被認為是不可外包的業(yè)務之一。安全被認為是必須牢牢掌握在企業(yè)自己手中的功能。”

但是在選擇了由Veracode所提供的安全即服務一年之后，Cox內部的大部分反對者對于該服務的性能已無話可說。Munsterman認為，企業(yè)對云服務的認可始于“可靠的合同條款”，終于最終形成的強大的合作伙伴關系。“我們做了大量的工作讓企業(yè)認識到選擇安全即服務是一個很好的機會。”

選擇安全即服務的幾點建議

● 須充分了解云交付安全產品和傳統產品的差異，這樣企業(yè)才有資格評估云服務，并了解這些服務能否滿足企業(yè)的需求。

● 應讓業(yè)務經理和用戶參與云服務評估過程。如果用戶發(fā)現安全即服務難于操控，那么企業(yè)要想獲得其投入的全部回報的可能性就會減少。

● 選擇有良好信譽和強大研發(fā)能力的服務提供商，它們會始終處于應對安全威脅和安全需求的領先地位。企業(yè)不僅需要評估提供商及其收費水平，還要評估它所提供的工具的質量和可靠性。

● 對待服務提供商要像對待合作伙伴一樣，定期共享服務改進的信息。企業(yè)應配備專人保持與服務提供商的聯系，并負責對其所提供服務的持續(xù)監(jiān)管。

● 確保企業(yè)的安全即服務提供商有合理的規(guī)劃以避免宕機和數據泄露事件的發(fā)生。選擇服務商時，能夠保護自身運營能力的服務商應成為一條關鍵依據。

其他風險

要讓企業(yè)掏錢購買安全即服務并非唯一的挑戰(zhàn)。“數據泄露風險是利用外部服務時最要命的潛在問題，因為外部服務集中了大量的安全數據，”Gartner的Pingree說。對于被托管在云服務環(huán)境中的與安全相關的數據，云客戶們依然表示了擔憂。

Pingree認為，“在將企業(yè)的數據向外部存儲時，加密是必不可少的。理想情況下，加密所用的密鑰最好由企業(yè)自己掌管，不要讓云提供商的員工掌管。”

此外，企業(yè)的關鍵服務向云的集中還會增加一次宕機便引發(fā)更劇烈連鎖影響的風險。

如果云提供商的服務中斷，“企業(yè)的業(yè)務也會中斷，”Pingree稱。“一些提供商會有適當的計劃去避免中斷和數據泄露，但其他提供商則沒有這樣的計劃?？蛻粜枰斏鞯剡x擇有能力保護自身運營的服務提供商。”

企業(yè)既然擔憂云服務可能中斷，“那就需要詢問服務商能否提供系統連續(xù)性作為其簽約服務的內容，并考慮選擇一家備份云服務商在出現中斷時作為熱備之用，”Pingree說。

雖說服務中斷的可能性相對較低，因為服務提供商們一般都會預先做好防范工作，但是較小的風險依然存在，Sirva的Diab說，例如一些關鍵業(yè)務應用如郵件服務，就可能會在中斷時間之內丟失不少的郵件。“這已成了平衡風險和回報的問題，”他說。

使用安全即服務的另一個潛在風險是很多提供商只提供簡單的、格式固定或非協商的SLA，以及有限的恢復責任，Diab說。那么在尋找安全即服務或此類最佳實踐信息的企業(yè)可以多參考各類資料。例如云安全聯盟的安全即服務工作組在2012年10月就已完成了一個同行業(yè)評審流程，并公布了實施指導文件。

該工作組的實施指導文件包含了對每一服務類別的同行評議文檔，這些服務類別包括了身份識別和訪問管理、數據丟失保護、Web安全、入侵管理、電子郵件安全、加密、業(yè)務連續(xù)性和災難恢復、網絡安全和安全評估等。

由于這些服務中有很多都是新的，因此在采用安全即服務之前首先查找關于這些服務的資料應該是一個不錯的辦法。(波波編譯)