虽然SAP全球运营总裁比尔·麦克德莫特在2009年曾表示,软件即服务(SaaS) 永远不可能成为企业的核心业务运作平台,企业需要软件基础来创建商业程序……但最近两年SaaS类产品、公司在全球范围迅猛发展,根据Gartner在今年7月所公布的消息,SaaS的营收规模在2010年达到100亿美元,而2011年会继续增长20%以上。这类模式不但被各类互联网厂商所采用,很多IT安全公司也开始在自己的产品中使用了这种模式。
比如这次RSA2011中国大会的很多参会厂商,很多都已经推出了基于“云”的SaaS网站安全检测方式。
近日,记者采访到即将在 RSA大会2011信息安全国际论坛上做演讲的嘉宾——杭州安恒信息技术有限公司首席执行官范渊。他表示,自己很看好这样的SaaS云安全模式,安恒信息也已经在几个月前推出了51websec.com这个SaaS安全服务。
安恒信息CEO 范渊
从2008年开始,范渊所在的公司就对他们的一些用户开始做这一块的服务。而现在随着时机的成熟,一些安全服务就可以完全的用“云”方式来提供了。
据悉,目前国内几个知名的安全公司都有了自己的SaaS“云”安全检测产品。比如绿盟科技、启明星辰、安恒信息、知道创宇等等。不过他们所提供的服务种类却各不相同。比如有的公司会提供SQL注入和XSS检测,有的公司则没有……
有了SaaS的安全方案,那传统的IT安全解决方案是不是就不用了呢?对此,范渊表示,这是一个互补的需求,比如用SaaS方案来实时监测网站安全,可以和内部部署的Web应用防火墙联动工作,加强网站的防护效果。
那这SaaS到底有什么好处,让各类IT厂商都开始竞相加入呢?
一、使用方便
SaaS提供商为企业搭建信息化所需要的所有网络基础设施及软件、硬件运作平台,并负责所有前期的实施、后期的维护等一系列服务,就好像自来水一样,企业根据实际需要,从SaaS提供商租赁软件服务。
二、价格低廉
由于SaaS不仅减少了或取消了传统的软件授权费用,而且厂商将应用软件部署在统一的服务器上,免除了最终用户的服务器硬件、网络安全设备和软件升级维护的支出,客户不需要除了个人电脑和互联网连接之外的其它IT投资就可以通过互联网获得所需要软件和服务。
结语:
云计算大潮正在席卷着整个IT界,用户的使用习惯有变化,黑客们的攻击方式有变化,各厂商的安全方案也得变化。
就好像最近EMC执行副总裁兼RSA执行主席亚瑟·科维洛(Art Coviello)和RSA总裁汤姆·海舍尔(Tom Heiser)在10月份的一个演讲中提到的:“……在抗击通过鱼叉式网钓攻击进入的零日恶意软件时,人员成了新的边缘,防病毒、入侵检测系统等传统的边缘信息安全防御方法发现不了这类攻击。显然,传统的信息安全方法或者无效、或者不够充分。安全威胁现状在不断演变,我们的信息安全系统必须做出改变,以超越我们的对手。为了抵御高级安全威胁,信息安全系统必须演变为基于风险的,且具有敏捷性和情境识别能力。”
由此看来,SaaS模式的安全方案,还是值得考虑的。
PS:本届RSA大会2011信息安全国际论坛上除了大量的“云安全”以外,《对新计算环境中的风险管理的反思》,《2011零日应用安全漏洞威胁分析和未来趋势》,《移动、社交媒体和云,我的天哪!移动内容和Web 2.0安全》,《不要拿着刀去对付持枪的人:黑客的情报分析》,《NFC、不接触以及移动:一种安全分析》等议题均值得关注。