如今，有不少的組織正在尋求包括身份管理、加密和訪問控制等在內(nèi)的企業(yè)級安全功能，同時又想擁有云所帶來的成本和靈活性優(yōu)勢，那么它們就應(yīng)該考察一下一些廠商所提供的SaaS" style="font-family: Arial, Helvetica, sans-serif; font-size: 14px; line-height: 26px; text-indent: 26px; color: rgb(0, 0, 0); text-decoration: none; border-bottom-color: rgb(7, 129, 199); border-bottom-width: 1px; border-bottom-style: dotted; " target="_blank" title="SaaS的最新文章">SaaS(security-as-a-service，安全即服務(wù)的最新文章">安全即服務(wù))產(chǎn)品或解決方案。

在此場景中，安全是作為一種云服務(wù)來交付的，而無須組織或企業(yè)自己購買相關(guān)硬件。Gartner的一位跟蹤安全市場的研究經(jīng)理Lawrence Pingree認(rèn)為，“采用安全即服務(wù)的最大好處之一就是省去了大量的資本支出。”

除此之外，Pingree說，一些云安全服務(wù)還提供了解決某些實際案例所需的靈活性。例如郵件過濾服務(wù)很受歡迎，就是因為一些移動設(shè)備平臺性能有限，無法運行端點保護產(chǎn)品。

其他用例還包括病毒防范、漏洞管理、身份管理和單點登錄等。Gartner預(yù)測，云安全服務(wù)市場將從2012年的19億美元增長至2016年的42億美元，年復(fù)合增長率為23%。

下面我們就來看看三家企業(yè)如何將云安全服務(wù)集成到其IT基礎(chǔ)設(shè)施中，以及如何利用外部組織所提供的云安全服務(wù)以避免服務(wù)中斷、數(shù)據(jù)泄露和其他風(fēng)險的。

可提供安全即服務(wù)的廠商

如今可提供安全即服務(wù)的廠商越來越多。這里只列出了幾家已可提供安全即服務(wù)的廠商。

● CA科技的CA CloudMinder提供一組托管的云安全服務(wù)，包括身份和訪問管理(IAM)。CloudMinder服務(wù)基礎(chǔ)設(shè)施由CA托管并監(jiān)控。

● Qualy的QualyGuard是一個按需提供的漏洞管理、政策遵從和資產(chǎn)管理系統(tǒng)。

● 賽門鐵克的O3云身份及訪問控制是一個云平臺，可提供訪問控制、信息安全和信息管理服務(wù)。該服務(wù)可在任意Web應(yīng)用中單點登錄。

● Symplified提供聯(lián)邦式單點登錄、身份和訪問管理服務(wù)。

郵件連續(xù)性和病毒防范

為了讓企業(yè)免遭惡意軟件攻擊，云服務(wù)通常被認(rèn)為是安全提供商在向其客戶發(fā)送信息時，“兼具集中分發(fā)和靈活性于一身的理想方式”，Pingree稱。對于某些客戶來說，它尤其適用，因為客戶們可以依靠云服務(wù)廠商來更新惡意軟件的定義，而無須客戶企業(yè)自己來做。

企業(yè)托管服務(wù)廠商Sirva自2009年起便一直在使用云服務(wù)。Sirva所部署的正是賽門鐵克的郵件連續(xù)性(Email Continuity)云服務(wù)，這是一個備用的郵件故障切換系統(tǒng)，可在郵件服務(wù)器宕機時也能不間斷地訪問郵件。

在未來數(shù)年內(nèi)，Sirva還將采用其他的云服務(wù)，如Websense的網(wǎng)頁封鎖(URL-blocking)應(yīng)用，以及白帽安全公司的滲透測試服務(wù)等。

據(jù)Sirva的合同與解決方案交付經(jīng)理Adam Diab說，到今年3月底，Sirva還將開始使用微軟的Office 365云服務(wù)，該服務(wù)自帶了一些安全功能，如反垃圾郵件、防病毒、身份管理和郵件加密等。

Adam Diab

Diab稱，采用安全即服務(wù)和其他IT功能即服務(wù)模式的最大驅(qū)動力就是為了削減成本。Diab說，企業(yè)自采的軟硬件成本正在逐漸增加。舉例來說，該公司的很多IT供應(yīng)商一直都在收取災(zāi)難恢復(fù)(DR)服務(wù)費，哪怕Sirva幾乎很少會用到這些服務(wù)。

Diab稱，大多數(shù)時間“它們都要求我們?yōu)椴⑽词褂玫姆?wù)付費”，所以Sirva開始尋找只在實際使用時才付費的DR服務(wù)。

Diab稱，各類云應(yīng)用，包括安全服務(wù)，要比通過傳統(tǒng)許可證方式購買的軟件節(jié)省約25%的成本。除了成本節(jié)約之外，Sirva還因為像軟硬件補丁、系統(tǒng)中斷備份等內(nèi)部支持費用——這些工作如今都成了廠商自己的工作——減少而獲益。

與此同時，該公司還逐漸淘汰了部分陳舊的服務(wù)器，將一些應(yīng)用遷移到了云中。Diab認(rèn)為，云服務(wù)的成熟度已不是問題，實際上很多云服務(wù)在全球范圍內(nèi)提供高性能服務(wù)方面已被證明是可靠的，這些服務(wù)在企業(yè)向海外擴展其運營，并尋求托管服務(wù)的標(biāo)準(zhǔn)化方面日漸重要。

Tickr.com是一家向客戶銷售社交媒體分析技術(shù)的公司，其技術(shù)可允許客戶在社交網(wǎng)站上跟蹤公眾對企業(yè)及其產(chǎn)品的評價。Tickr.com在2012年初開始使用Symplified用于身份管理和單點登錄的安全即服務(wù)產(chǎn)品。作為其產(chǎn)品研發(fā)進(jìn)程的一個部分，Tickr.com還需要提供對自己的一些專利應(yīng)用以及谷歌Apps和Salesforce.com的安全訪問，Tickr.com商業(yè)研發(fā)副總裁Bobby Mukherjee說。

Bobby Mukherjee

Mukherjee解釋道，為開發(fā)人員提供對各類應(yīng)用更快捷的訪問對于該公司來說尤為關(guān)鍵，因為它需要迅速地將這些應(yīng)用轉(zhuǎn)化為新的產(chǎn)品發(fā)布出去。而利用Symplified的服務(wù)，“我就能夠簡化我的用戶對基于云的或內(nèi)部應(yīng)用的訪問，而且比市場上的其他方法更安全。該解決方案還很容易與我們已經(jīng)在使用的其他Web和SaaS應(yīng)用集成。它有直觀的管理界面，很容易做配置更改。”

而在此之前，“我們不得不高薪聘請工程師花費大塊的時間在多個關(guān)鍵應(yīng)用上登錄/登出，跟蹤用戶的密碼成了他們?nèi)粘９ぷ鞯囊徊糠帧?rdquo;

工程師們要花費大約十分之一的時間用于處理應(yīng)用的登錄、密碼和安全問題。“這對我們來說是非常煩人而且代價昂貴的，所以我們開始尋找單點登錄安全解決方案，”這種方案可極大地簡化授權(quán)訪問過程，而同時又能維持較高的安全等級，Mukherjee說。

Tickr決定采用Symplified的云服務(wù)。之前Tickr就已經(jīng)對不少的應(yīng)用，如郵件和CRM等采用過幾種云服務(wù)，也已經(jīng)看到了云服務(wù)所帶來的成本節(jié)約和更大靈活性的好處。Mukherjee認(rèn)為，“云是個好東西，因為它具有經(jīng)濟性。你可以只買你需要的東西。”

在過去幾年間，隨著公司的不斷發(fā)展，Tickr已能夠輕松快捷地添加email賬戶和CRM應(yīng)用的用戶賬戶。由于可以精準(zhǔn)地只在有需要時購買公司所需要的服務(wù)，Tickr大大降低了整體的技術(shù)成本，也包括維護費用的下降。

該公司是在2012年3月開始使用Symplified的安全即服務(wù)的，并預(yù)計與購買傳統(tǒng)的內(nèi)部軟件許可證相比，同樣會帶來時間和成本上的節(jié)約。

Mukherjee認(rèn)為，安全即服務(wù)的另一個好處是易用性。單點登錄和身份管理能力無須對終端用戶進(jìn)行培訓(xùn)。“如果必須培訓(xùn)的話，人們有可能會采取抵制態(tài)度。關(guān)鍵是要節(jié)省時間，所以這種服務(wù)必須是相當(dāng)高效的。”

基于云的漏洞管理

寬帶通信及娛樂公司Cox通信對兩種安全即服務(wù)產(chǎn)品更為倚重。一是漏洞管理，一是應(yīng)用安全的動靜態(tài)分析，該公司的安全工程經(jīng)理Jay Munsterman說。

Munsterman解釋說，所謂靜態(tài)分析就是對源代碼或二進(jìn)制代碼的自動審查，而動態(tài)分析則針對的是正在運行中的Web應(yīng)用。

Munsterman說，“兩種服務(wù)都為我們提供了對云中更成熟資源的訪問，與企業(yè)內(nèi)部的資源相比，這種訪問更快更便宜。利用云服務(wù)，我們就可以同步應(yīng)對各種新出現(xiàn)的威脅，不至于手忙腳亂。”

云應(yīng)用功能齊全，而且多數(shù)皆可在一天內(nèi)完全配置好，Munsterman說。“我們因此而省去了較長的部署/配置過程。”至于費用，這些云服務(wù)雖然“并不便宜，但我不需要再雇傭維護人員了，這就是收益。”

當(dāng)然，關(guān)于云的安全問題還是會有一些保留的，Munsterman說，尤其是要把公司的知識產(chǎn)權(quán)和漏洞信息托管給Cox數(shù)據(jù)中心圍墻以外的第三方之時。

“我們很熟悉各類業(yè)務(wù)流程的外包概念，這也是多年來的一種行業(yè)標(biāo)準(zhǔn)，”Munsterman解釋道。“但是安全功能卻被認(rèn)為是不可外包的業(yè)務(wù)之一。安全被認(rèn)為是必須牢牢掌握在企業(yè)自己手中的功能。”

但是在選擇了由Veracode所提供的安全即服務(wù)一年之后，Cox內(nèi)部的大部分反對者對于該服務(wù)的性能已無話可說。Munsterman認(rèn)為，企業(yè)對云服務(wù)的認(rèn)可始于“可靠的合同條款”，終于最終形成的強大的合作伙伴關(guān)系。“我們做了大量的工作讓企業(yè)認(rèn)識到選擇安全即服務(wù)是一個很好的機會。”

選擇安全即服務(wù)的幾點建議

● 須充分了解云交付安全產(chǎn)品和傳統(tǒng)產(chǎn)品的差異，這樣企業(yè)才有資格評估云服務(wù)，并了解這些服務(wù)能否滿足企業(yè)的需求。

● 應(yīng)讓業(yè)務(wù)經(jīng)理和用戶參與云服務(wù)評估過程。如果用戶發(fā)現(xiàn)安全即服務(wù)難于操控，那么企業(yè)要想獲得其投入的全部回報的可能性就會減少。

● 選擇有良好信譽和強大研發(fā)能力的服務(wù)提供商，它們會始終處于應(yīng)對安全威脅和安全需求的領(lǐng)先地位。企業(yè)不僅需要評估提供商及其收費水平，還要評估它所提供的工具的質(zhì)量和可靠性。

● 對待服務(wù)提供商要像對待合作伙伴一樣，定期共享服務(wù)改進(jìn)的信息。企業(yè)應(yīng)配備專人保持與服務(wù)提供商的聯(lián)系，并負(fù)責(zé)對其所提供服務(wù)的持續(xù)監(jiān)管。

● 確保企業(yè)的安全即服務(wù)提供商有合理的規(guī)劃以避免宕機和數(shù)據(jù)泄露事件的發(fā)生。選擇服務(wù)商時，能夠保護自身運營能力的服務(wù)商應(yīng)成為一條關(guān)鍵依據(jù)。

其他風(fēng)險

要讓企業(yè)掏錢購買安全即服務(wù)并非唯一的挑戰(zhàn)。“數(shù)據(jù)泄露風(fēng)險是利用外部服務(wù)時最要命的潛在問題，因為外部服務(wù)集中了大量的安全數(shù)據(jù)，”Gartner的Pingree說。對于被托管在云服務(wù)環(huán)境中的與安全相關(guān)的數(shù)據(jù)，云客戶們依然表示了擔(dān)憂。

Pingree認(rèn)為，“在將企業(yè)的數(shù)據(jù)向外部存儲時，加密是必不可少的。理想情況下，加密所用的密鑰最好由企業(yè)自己掌管，不要讓云提供商的員工掌管。”

此外，企業(yè)的關(guān)鍵服務(wù)向云的集中還會增加一次宕機便引發(fā)更劇烈連鎖影響的風(fēng)險。

如果云提供商的服務(wù)中斷，“企業(yè)的業(yè)務(wù)也會中斷，”Pingree稱。“一些提供商會有適當(dāng)?shù)挠媱澣ケ苊庵袛嗪蛿?shù)據(jù)泄露，但其他提供商則沒有這樣的計劃?？蛻粜枰?jǐn)慎地選擇有能力保護自身運營的服務(wù)提供商。”

企業(yè)既然擔(dān)憂云服務(wù)可能中斷，“那就需要詢問服務(wù)商能否提供系統(tǒng)連續(xù)性作為其簽約服務(wù)的內(nèi)容，并考慮選擇一家備份云服務(wù)商在出現(xiàn)中斷時作為熱備之用，”Pingree說。

雖說服務(wù)中斷的可能性相對較低，因為服務(wù)提供商們一般都會預(yù)先做好防范工作，但是較小的風(fēng)險依然存在，Sirva的Diab說，例如一些關(guān)鍵業(yè)務(wù)應(yīng)用如郵件服務(wù)，就可能會在中斷時間之內(nèi)丟失不少的郵件。“這已成了平衡風(fēng)險和回報的問題，”他說。

使用安全即服務(wù)的另一個潛在風(fēng)險是很多提供商只提供簡單的、格式固定或非協(xié)商的SLA，以及有限的恢復(fù)責(zé)任，Diab說。那么在尋找安全即服務(wù)或此類最佳實踐信息的企業(yè)可以多參考各類資料。例如云安全聯(lián)盟的安全即服務(wù)工作組在2012年10月就已完成了一個同行業(yè)評審流程，并公布了實施指導(dǎo)文件。

該工作組的實施指導(dǎo)文件包含了對每一服務(wù)類別的同行評議文檔，這些服務(wù)類別包括了身份識別和訪問管理、數(shù)據(jù)丟失保護、Web安全、入侵管理、電子郵件安全、加密、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)、網(wǎng)絡(luò)安全和安全評估等。

由于這些服務(wù)中有很多都是新的，因此在采用安全即服務(wù)之前首先查找關(guān)于這些服務(wù)的資料應(yīng)該是一個不錯的辦法。(波波編譯)