《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 安全即服務(wù)(SaaS)日趨流行
安全即服務(wù)(SaaS)日趨流行
來源:網(wǎng)界網(wǎng)
摘要: 如今,,有不少的組織正在尋求包括身份管理,、加密和訪問控制等在內(nèi)的企業(yè)級(jí)安全功能,同時(shí)又想擁有云所帶來的成本和靈活性優(yōu)勢(shì),,那么它們就應(yīng)該考察一下一些廠商所提供的SaaS(security-as-a-service,安全即服務(wù))產(chǎn)品或解決方案,。
Abstract:
Key words :

        如今,,有不少的組織正在尋求包括身份管理,、加密和訪問控制等在內(nèi)的企業(yè)級(jí)安全功能,同時(shí)又想擁有云所帶來的成本和靈活性優(yōu)勢(shì),,那么它們就應(yīng)該考察一下一些廠商所提供的SaaS" style="font-family: Arial, Helvetica, sans-serif; font-size: 14px; line-height: 26px; text-indent: 26px; color: rgb(0, 0, 0); text-decoration: none; border-bottom-color: rgb(7, 129, 199); border-bottom-width: 1px; border-bottom-style: dotted; " target="_blank" title="SaaS的最新文章">SaaS(security-as-a-service,,安全即服務(wù)的最新文章">安全即服務(wù))產(chǎn)品或解決方案。

在此場景中,,安全是作為一種云服務(wù)來交付的,,而無須組織或企業(yè)自己購買相關(guān)硬件。Gartner的一位跟蹤安全市場的研究經(jīng)理Lawrence Pingree認(rèn)為,,“采用安全即服務(wù)的最大好處之一就是省去了大量的資本支出,。”

除此之外,Pingree說,,一些云安全服務(wù)還提供了解決某些實(shí)際案例所需的靈活性,。例如郵件過濾服務(wù)很受歡迎,就是因?yàn)橐恍┮苿?dòng)設(shè)備平臺(tái)性能有限,,無法運(yùn)行端點(diǎn)保護(hù)產(chǎn)品,。

其他用例還包括病毒防范、漏洞管理,、身份管理和單點(diǎn)登錄等,。Gartner預(yù)測,云安全服務(wù)市場將從2012年的19億美元增長至2016年的42億美元,,年復(fù)合增長率為23%,。

下面我們就來看看三家企業(yè)如何將云安全服務(wù)集成到其IT基礎(chǔ)設(shè)施中,以及如何利用外部組織所提供的云安全服務(wù)以避免服務(wù)中斷,、數(shù)據(jù)泄露和其他風(fēng)險(xiǎn)的,。

可提供安全即服務(wù)的廠商

如今可提供安全即服務(wù)的廠商越來越多。這里只列出了幾家已可提供安全即服務(wù)的廠商,。

● CA科技的CA CloudMinder提供一組托管的云安全服務(wù),,包括身份和訪問管理(IAM)。CloudMinder服務(wù)基礎(chǔ)設(shè)施由CA托管并監(jiān)控,。

● Qualy的QualyGuard是一個(gè)按需提供的漏洞管理,、政策遵從和資產(chǎn)管理系統(tǒng)。

● 賽門鐵克的O3云身份及訪問控制是一個(gè)云平臺(tái),,可提供訪問控制,、信息安全和信息管理服務(wù)。該服務(wù)可在任意Web應(yīng)用中單點(diǎn)登錄,。

● Symplified提供聯(lián)邦式單點(diǎn)登錄,、身份和訪問管理服務(wù)。

郵件連續(xù)性和病毒防范

為了讓企業(yè)免遭惡意軟件攻擊,云服務(wù)通常被認(rèn)為是安全提供商在向其客戶發(fā)送信息時(shí),,“兼具集中分發(fā)和靈活性于一身的理想方式”,,Pingree稱。對(duì)于某些客戶來說,,它尤其適用,,因?yàn)榭蛻魝兛梢砸揽吭品?wù)廠商來更新惡意軟件的定義,而無須客戶企業(yè)自己來做,。

企業(yè)托管服務(wù)廠商Sirva自2009年起便一直在使用云服務(wù),。Sirva所部署的正是賽門鐵克的郵件連續(xù)性(Email Continuity)云服務(wù),這是一個(gè)備用的郵件故障切換系統(tǒng),,可在郵件服務(wù)器宕機(jī)時(shí)也能不間斷地訪問郵件,。

在未來數(shù)年內(nèi),Sirva還將采用其他的云服務(wù),,如Websense的網(wǎng)頁封鎖(URL-blocking)應(yīng)用,,以及白帽安全公司的滲透測試服務(wù)等。

據(jù)Sirva的合同與解決方案交付經(jīng)理Adam Diab說,,到今年3月底,,Sirva還將開始使用微軟的Office 365云服務(wù),該服務(wù)自帶了一些安全功能,,如反垃圾郵件,、防病毒、身份管理和郵件加密等,。

Adam Diab

Diab稱,,采用安全即服務(wù)和其他IT功能即服務(wù)模式的最大驅(qū)動(dòng)力就是為了削減成本。Diab說,,企業(yè)自采的軟硬件成本正在逐漸增加。舉例來說,,該公司的很多IT供應(yīng)商一直都在收取災(zāi)難恢復(fù)(DR)服務(wù)費(fèi),,哪怕Sirva幾乎很少會(huì)用到這些服務(wù)。

Diab稱,,大多數(shù)時(shí)間“它們都要求我們?yōu)椴⑽词褂玫姆?wù)付費(fèi)”,,所以Sirva開始尋找只在實(shí)際使用時(shí)才付費(fèi)的DR服務(wù)。

Diab稱,,各類云應(yīng)用,,包括安全服務(wù),要比通過傳統(tǒng)許可證方式購買的軟件節(jié)省約25%的成本,。除了成本節(jié)約之外,,Sirva還因?yàn)橄褴浻布a(bǔ)丁、系統(tǒng)中斷備份等內(nèi)部支持費(fèi)用——這些工作如今都成了廠商自己的工作——減少而獲益。

與此同時(shí),,該公司還逐漸淘汰了部分陳舊的服務(wù)器,,將一些應(yīng)用遷移到了云中。Diab認(rèn)為,,云服務(wù)的成熟度已不是問題,,實(shí)際上很多云服務(wù)在全球范圍內(nèi)提供高性能服務(wù)方面已被證明是可靠的,這些服務(wù)在企業(yè)向海外擴(kuò)展其運(yùn)營,,并尋求托管服務(wù)的標(biāo)準(zhǔn)化方面日漸重要,。

身份管理和單點(diǎn)登錄

Tickr.com是一家向客戶銷售社交媒體分析技術(shù)的公司,其技術(shù)可允許客戶在社交網(wǎng)站上跟蹤公眾對(duì)企業(yè)及其產(chǎn)品的評(píng)價(jià),。Tickr.com在2012年初開始使用Symplified用于身份管理和單點(diǎn)登錄的安全即服務(wù)產(chǎn)品,。作為其產(chǎn)品研發(fā)進(jìn)程的一個(gè)部分,Tickr.com還需要提供對(duì)自己的一些專利應(yīng)用以及谷歌Apps和Salesforce.com的安全訪問,,Tickr.com商業(yè)研發(fā)副總裁Bobby Mukherjee說,。

Bobby Mukherjee

Mukherjee解釋道,為開發(fā)人員提供對(duì)各類應(yīng)用更快捷的訪問對(duì)于該公司來說尤為關(guān)鍵,,因?yàn)樗枰杆俚貙⑦@些應(yīng)用轉(zhuǎn)化為新的產(chǎn)品發(fā)布出去,。而利用Symplified的服務(wù),“我就能夠簡化我的用戶對(duì)基于云的或內(nèi)部應(yīng)用的訪問,,而且比市場上的其他方法更安全,。該解決方案還很容易與我們已經(jīng)在使用的其他Web和SaaS應(yīng)用集成。它有直觀的管理界面,,很容易做配置更改,。”

而在此之前,“我們不得不高薪聘請(qǐng)工程師花費(fèi)大塊的時(shí)間在多個(gè)關(guān)鍵應(yīng)用上登錄/登出,,跟蹤用戶的密碼成了他們?nèi)粘9ぷ鞯囊徊糠帧?rdquo;

工程師們要花費(fèi)大約十分之一的時(shí)間用于處理應(yīng)用的登錄,、密碼和安全問題。“這對(duì)我們來說是非常煩人而且代價(jià)昂貴的,,所以我們開始尋找單點(diǎn)登錄安全解決方案,,”這種方案可極大地簡化授權(quán)訪問過程,而同時(shí)又能維持較高的安全等級(jí),,Mukherjee說,。

Tickr決定采用Symplified的云服務(wù)。之前Tickr就已經(jīng)對(duì)不少的應(yīng)用,,如郵件和CRM等采用過幾種云服務(wù),,也已經(jīng)看到了云服務(wù)所帶來的成本節(jié)約和更大靈活性的好處。Mukherjee認(rèn)為,,“云是個(gè)好東西,,因?yàn)樗哂薪?jīng)濟(jì)性,。你可以只買你需要的東西。”

在過去幾年間,,隨著公司的不斷發(fā)展,,Tickr已能夠輕松快捷地添加email賬戶和CRM應(yīng)用的用戶賬戶。由于可以精準(zhǔn)地只在有需要時(shí)購買公司所需要的服務(wù),,Tickr大大降低了整體的技術(shù)成本,,也包括維護(hù)費(fèi)用的下降。

該公司是在2012年3月開始使用Symplified的安全即服務(wù)的,,并預(yù)計(jì)與購買傳統(tǒng)的內(nèi)部軟件許可證相比,,同樣會(huì)帶來時(shí)間和成本上的節(jié)約。

Mukherjee認(rèn)為,,安全即服務(wù)的另一個(gè)好處是易用性,。單點(diǎn)登錄和身份管理能力無須對(duì)終端用戶進(jìn)行培訓(xùn)。“如果必須培訓(xùn)的話,,人們有可能會(huì)采取抵制態(tài)度,。關(guān)鍵是要節(jié)省時(shí)間,所以這種服務(wù)必須是相當(dāng)高效的,。”

基于云的漏洞管理

寬帶通信及娛樂公司Cox通信對(duì)兩種安全即服務(wù)產(chǎn)品更為倚重,。一是漏洞管理,一是應(yīng)用安全的動(dòng)靜態(tài)分析,,該公司的安全工程經(jīng)理Jay Munsterman說,。

Munsterman解釋說,所謂靜態(tài)分析就是對(duì)源代碼或二進(jìn)制代碼的自動(dòng)審查,,而動(dòng)態(tài)分析則針對(duì)的是正在運(yùn)行中的Web應(yīng)用,。

Munsterman說,“兩種服務(wù)都為我們提供了對(duì)云中更成熟資源的訪問,,與企業(yè)內(nèi)部的資源相比,,這種訪問更快更便宜。利用云服務(wù),,我們就可以同步應(yīng)對(duì)各種新出現(xiàn)的威脅,,不至于手忙腳亂。”

云應(yīng)用功能齊全,,而且多數(shù)皆可在一天內(nèi)完全配置好,Munsterman說,。“我們因此而省去了較長的部署/配置過程,。”至于費(fèi)用,這些云服務(wù)雖然“并不便宜,,但我不需要再雇傭維護(hù)人員了,,這就是收益。”

當(dāng)然,關(guān)于云的安全問題還是會(huì)有一些保留的,,Munsterman說,,尤其是要把公司的知識(shí)產(chǎn)權(quán)和漏洞信息托管給Cox數(shù)據(jù)中心圍墻以外的第三方之時(shí)。

“我們很熟悉各類業(yè)務(wù)流程的外包概念,,這也是多年來的一種行業(yè)標(biāo)準(zhǔn),,”Munsterman解釋道。“但是安全功能卻被認(rèn)為是不可外包的業(yè)務(wù)之一,。安全被認(rèn)為是必須牢牢掌握在企業(yè)自己手中的功能,。”

但是在選擇了由Veracode所提供的安全即服務(wù)一年之后,Cox內(nèi)部的大部分反對(duì)者對(duì)于該服務(wù)的性能已無話可說,。Munsterman認(rèn)為,,企業(yè)對(duì)云服務(wù)的認(rèn)可始于“可靠的合同條款”,終于最終形成的強(qiáng)大的合作伙伴關(guān)系,。“我們做了大量的工作讓企業(yè)認(rèn)識(shí)到選擇安全即服務(wù)是一個(gè)很好的機(jī)會(huì),。”

選擇安全即服務(wù)的幾點(diǎn)建議

● 須充分了解云交付安全產(chǎn)品和傳統(tǒng)產(chǎn)品的差異,這樣企業(yè)才有資格評(píng)估云服務(wù),,并了解這些服務(wù)能否滿足企業(yè)的需求,。

● 應(yīng)讓業(yè)務(wù)經(jīng)理和用戶參與云服務(wù)評(píng)估過程。如果用戶發(fā)現(xiàn)安全即服務(wù)難于操控,,那么企業(yè)要想獲得其投入的全部回報(bào)的可能性就會(huì)減少,。

● 選擇有良好信譽(yù)和強(qiáng)大研發(fā)能力的服務(wù)提供商,它們會(huì)始終處于應(yīng)對(duì)安全威脅和安全需求的領(lǐng)先地位,。企業(yè)不僅需要評(píng)估提供商及其收費(fèi)水平,,還要評(píng)估它所提供的工具的質(zhì)量和可靠性。

● 對(duì)待服務(wù)提供商要像對(duì)待合作伙伴一樣,,定期共享服務(wù)改進(jìn)的信息,。企業(yè)應(yīng)配備專人保持與服務(wù)提供商的聯(lián)系,并負(fù)責(zé)對(duì)其所提供服務(wù)的持續(xù)監(jiān)管,。

● 確保企業(yè)的安全即服務(wù)提供商有合理的規(guī)劃以避免宕機(jī)和數(shù)據(jù)泄露事件的發(fā)生,。選擇服務(wù)商時(shí),能夠保護(hù)自身運(yùn)營能力的服務(wù)商應(yīng)成為一條關(guān)鍵依據(jù),。

其他風(fēng)險(xiǎn)

要讓企業(yè)掏錢購買安全即服務(wù)并非唯一的挑戰(zhàn),。“數(shù)據(jù)泄露風(fēng)險(xiǎn)是利用外部服務(wù)時(shí)最要命的潛在問題,因?yàn)橥獠糠?wù)集中了大量的安全數(shù)據(jù),,”Gartner的Pingree說,。對(duì)于被托管在云服務(wù)環(huán)境中的與安全相關(guān)的數(shù)據(jù),云客戶們依然表示了擔(dān)憂,。

Pingree認(rèn)為,,“在將企業(yè)的數(shù)據(jù)向外部存儲(chǔ)時(shí),,加密是必不可少的。理想情況下,,加密所用的密鑰最好由企業(yè)自己掌管,,不要讓云提供商的員工掌管。”

此外,,企業(yè)的關(guān)鍵服務(wù)向云的集中還會(huì)增加一次宕機(jī)便引發(fā)更劇烈連鎖影響的風(fēng)險(xiǎn),。

如果云提供商的服務(wù)中斷,“企業(yè)的業(yè)務(wù)也會(huì)中斷,,”Pingree稱,。“一些提供商會(huì)有適當(dāng)?shù)挠?jì)劃去避免中斷和數(shù)據(jù)泄露,但其他提供商則沒有這樣的計(jì)劃,??蛻粜枰?jǐn)慎地選擇有能力保護(hù)自身運(yùn)營的服務(wù)提供商。”

企業(yè)既然擔(dān)憂云服務(wù)可能中斷,,“那就需要詢問服務(wù)商能否提供系統(tǒng)連續(xù)性作為其簽約服務(wù)的內(nèi)容,,并考慮選擇一家備份云服務(wù)商在出現(xiàn)中斷時(shí)作為熱備之用,”Pingree說,。

雖說服務(wù)中斷的可能性相對(duì)較低,,因?yàn)榉?wù)提供商們一般都會(huì)預(yù)先做好防范工作,但是較小的風(fēng)險(xiǎn)依然存在,,Sirva的Diab說,,例如一些關(guān)鍵業(yè)務(wù)應(yīng)用如郵件服務(wù),就可能會(huì)在中斷時(shí)間之內(nèi)丟失不少的郵件,。“這已成了平衡風(fēng)險(xiǎn)和回報(bào)的問題,,”他說。

使用安全即服務(wù)的另一個(gè)潛在風(fēng)險(xiǎn)是很多提供商只提供簡單的,、格式固定或非協(xié)商的SLA,,以及有限的恢復(fù)責(zé)任,Diab說,。那么在尋找安全即服務(wù)或此類最佳實(shí)踐信息的企業(yè)可以多參考各類資料,。例如云安全聯(lián)盟的安全即服務(wù)工作組在2012年10月就已完成了一個(gè)同行業(yè)評(píng)審流程,并公布了實(shí)施指導(dǎo)文件,。

該工作組的實(shí)施指導(dǎo)文件包含了對(duì)每一服務(wù)類別的同行評(píng)議文檔,,這些服務(wù)類別包括了身份識(shí)別和訪問管理、數(shù)據(jù)丟失保護(hù),、Web安全,、入侵管理、電子郵件安全,、加密,、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)、網(wǎng)絡(luò)安全和安全評(píng)估等,。

由于這些服務(wù)中有很多都是新的,,因此在采用安全即服務(wù)之前首先查找關(guān)于這些服務(wù)的資料應(yīng)該是一個(gè)不錯(cuò)的辦法。(波波編譯)

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。