如今,有不少的组织正在寻求包括身份管理、加密和访问控制等在内的企业级安全功能,同时又想拥有云所带来的成本和灵活性优势,那么它们就应该考察一下一些厂商所提供的SaaS(security-as-a-service,安全即服务)产品或解决方案。
在此场景中,安全是作为一种云服务来交付的,而无须组织或企业自己购买相关硬件。Gartner的一位跟踪安全市场的研究经理Lawrence Pingree认为,“采用安全即服务的最大好处之一就是省去了大量的资本支出。”
除此之外,Pingree说,一些云安全服务还提供了解决某些实际案例所需的灵活性。例如邮件过滤服务很受欢迎,就是因为一些移动设备平台性能有限,无法运行端点保护产品。
其他用例还包括病毒防范、漏洞管理、身份管理和单点登录等。Gartner预测,云安全服务市场将从2012年的19亿美元增长至2016年的42亿美元,年复合增长率为23%。
下面我们就来看看三家企业如何将云安全服务集成到其IT基础设施中,以及如何利用外部组织所提供的云安全服务以避免服务中断、数据泄露和其他风险的。
可提供安全即服务的厂商
如今可提供安全即服务的厂商越来越多。这里只列出了几家已可提供安全即服务的厂商。
● CA科技的CA CloudMinder提供一组托管的云安全服务,包括身份和访问管理(IAM)。CloudMinder服务基础设施由CA托管并监控。
● Qualy的QualyGuard是一个按需提供的漏洞管理、政策遵从和资产管理系统。
● 赛门铁克的O3云身份及访问控制是一个云平台,可提供访问控制、信息安全和信息管理服务。该服务可在任意Web应用中单点登录。
● Symplified提供联邦式单点登录、身份和访问管理服务。
邮件连续性和病毒防范
为了让企业免遭恶意软件攻击,云服务通常被认为是安全提供商在向其客户发送信息时,“兼具集中分发和灵活性于一身的理想方式”,Pingree称。对于某些客户来说,它尤其适用,因为客户们可以依靠云服务厂商来更新恶意软件的定义,而无须客户企业自己来做。
企业托管服务厂商Sirva自2009年起便一直在使用云服务。Sirva所部署的正是赛门铁克的邮件连续性(Email Continuity)云服务,这是一个备用的邮件故障切换系统,可在邮件服务器宕机时也能不间断地访问邮件。
在未来数年内,Sirva还将采用其他的云服务,如Websense的网页封锁(URL-blocking)应用,以及白帽安全公司的渗透测试服务等。
据Sirva的合同与解决方案交付经理Adam Diab说,到今年3月底,Sirva还将开始使用微软的Office 365云服务,该服务自带了一些安全功能,如反垃圾邮件、防病毒、身份管理和邮件加密等。
Adam Diab
Diab称,采用安全即服务和其他IT功能即服务模式的最大驱动力就是为了削减成本。Diab说,企业自采的软硬件成本正在逐渐增加。举例来说,该公司的很多IT供应商一直都在收取灾难恢复(DR)服务费,哪怕Sirva几乎很少会用到这些服务。
Diab称,大多数时间“它们都要求我们为并未使用的服务付费”,所以Sirva开始寻找只在实际使用时才付费的DR服务。
Diab称,各类云应用,包括安全服务,要比通过传统许可证方式购买的软件节省约25%的成本。除了成本节约之外,Sirva还因为像软硬件补丁、系统中断备份等内部支持费用——这些工作如今都成了厂商自己的工作——减少而获益。
与此同时,该公司还逐渐淘汰了部分陈旧的服务器,将一些应用迁移到了云中。Diab认为,云服务的成熟度已不是问题,实际上很多云服务在全球范围内提供高性能服务方面已被证明是可靠的,这些服务在企业向海外扩展其运营,并寻求托管服务的标准化方面日渐重要。 #p#
身份管理和单点登录
Tickr.com是一家向客户销售社交媒体分析技术的公司,其技术可允许客户在社交网站上跟踪公众对企业及其产品的评价。Tickr.com在2012年初开始使用Symplified用于身份管理和单点登录的安全即服务产品。作为其产品研发进程的一个部分,Tickr.com还需要提供对自己的一些专利应用以及谷歌Apps和Salesforce.com的安全访问,Tickr.com商业研发副总裁Bobby Mukherjee说。
Bobby Mukherjee
Mukherjee解释道,为开发人员提供对各类应用更快捷的访问对于该公司来说尤为关键,因为它需要迅速地将这些应用转化为新的产品发布出去。而利用Symplified的服务,“我就能够简化我的用户对基于云的或内部应用的访问,而且比市场上的其他方法更安全。该解决方案还很容易与我们已经在使用的其他Web和SaaS应用集成。它有直观的管理界面,很容易做配置更改。”
而在此之前,“我们不得不高薪聘请工程师花费大块的时间在多个关键应用上登录/登出,跟踪用户的密码成了他们日常工作的一部分。”
工程师们要花费大约十分之一的时间用于处理应用的登录、密码和安全问题。“这对我们来说是非常烦人而且代价昂贵的,所以我们开始寻找单点登录安全解决方案,”这种方案可极大地简化授权访问过程,而同时又能维持较高的安全等级,Mukherjee说。
Tickr决定采用Symplified的云服务。之前Tickr就已经对不少的应用,如邮件和CRM等采用过几种云服务,也已经看到了云服务所带来的成本节约和更大灵活性的好处。Mukherjee认为,“云是个好东西,因为它具有经济性。你可以只买你需要的东西。”
在过去几年间,随着公司的不断发展,Tickr已能够轻松快捷地添加email账户和CRM应用的用户账户。由于可以精准地只在有需要时购买公司所需要的服务,Tickr大大降低了整体的技术成本,也包括维护费用的下降。
该公司是在2012年3月开始使用Symplified的安全即服务的,并预计与购买传统的内部软件许可证相比,同样会带来时间和成本上的节约。
Mukherjee认为,安全即服务的另一个好处是易用性。单点登录和身份管理能力无须对终端用户进行培训。“如果必须培训的话,人们有可能会采取抵制态度。关键是要节省时间,所以这种服务必须是相当高效的。”
基于云的漏洞管理
宽带通信及娱乐公司Cox通信对两种安全即服务产品更为倚重。一是漏洞管理,一是应用安全的动静态分析,该公司的安全工程经理Jay Munsterman说。
Munsterman解释说,所谓静态分析就是对源代码或二进制代码的自动审查,而动态分析则针对的是正在运行中的Web应用。
Munsterman说,“两种服务都为我们提供了对云中更成熟资源的访问,与企业内部的资源相比,这种访问更快更便宜。利用云服务,我们就可以同步应对各种新出现的威胁,不至于手忙脚乱。”
云应用功能齐全,而且多数皆可在一天内完全配置好,Munsterman说。“我们因此而省去了较长的部署/配置过程。”至于费用,这些云服务虽然“并不便宜,但我不需要再雇佣维护人员了,这就是收益。”
当然,关于云的安全问题还是会有一些保留的,Munsterman说,尤其是要把公司的知识产权和漏洞信息托管给Cox数据中心围墙以外的第三方之时。
“我们很熟悉各类业务流程的外包概念,这也是多年来的一种行业标准,”Munsterman解释道。“但是安全功能却被认为是不可外包的业务之一。安全被认为是必须牢牢掌握在企业自己手中的功能。”
但是在选择了由Veracode所提供的安全即服务一年之后,Cox内部的大部分反对者对于该服务的性能已无话可说。Munsterman认为,企业对云服务的认可始于“可靠的合同条款”,终于最终形成的强大的合作伙伴关系。“我们做了大量的工作让企业认识到选择安全即服务是一个很好的机会。”
选择安全即服务的几点建议
● 须充分了解云交付安全产品和传统产品的差异,这样企业才有资格评估云服务,并了解这些服务能否满足企业的需求。
● 应让业务经理和用户参与云服务评估过程。如果用户发现安全即服务难于操控,那么企业要想获得其投入的全部回报的可能性就会减少。
● 选择有良好信誉和强大研发能力的服务提供商,它们会始终处于应对安全威胁和安全需求的领先地位。企业不仅需要评估提供商及其收费水平,还要评估它所提供的工具的质量和可靠性。
● 对待服务提供商要像对待合作伙伴一样,定期共享服务改进的信息。企业应配备专人保持与服务提供商的联系,并负责对其所提供服务的持续监管。
● 确保企业的安全即服务提供商有合理的规划以避免宕机和数据泄露事件的发生。选择服务商时,能够保护自身运营能力的服务商应成为一条关键依据。
其他风险
要让企业掏钱购买安全即服务并非唯一的挑战。“数据泄露风险是利用外部服务时最要命的潜在问题,因为外部服务集中了大量的安全数据,”Gartner的Pingree说。对于被托管在云服务环境中的与安全相关的数据,云客户们依然表示了担忧。
Pingree认为,“在将企业的数据向外部存储时,加密是必不可少的。理想情况下,加密所用的密钥最好由企业自己掌管,不要让云提供商的员工掌管。”
此外,企业的关键服务向云的集中还会增加一次宕机便引发更剧烈连锁影响的风险。
如果云提供商的服务中断,“企业的业务也会中断,”Pingree称。“一些提供商会有适当的计划去避免中断和数据泄露,但其他提供商则没有这样的计划。客户需要谨慎地选择有能力保护自身运营的服务提供商。”
企业既然担忧云服务可能中断,“那就需要询问服务商能否提供系统连续性作为其签约服务的内容,并考虑选择一家备份云服务商在出现中断时作为热备之用,”Pingree说。
虽说服务中断的可能性相对较低,因为服务提供商们一般都会预先做好防范工作,但是较小的风险依然存在,Sirva的Diab说,例如一些关键业务应用如邮件服务,就可能会在中断时间之内丢失不少的邮件。“这已成了平衡风险和回报的问题,”他说。
使用安全即服务的另一个潜在风险是很多提供商只提供简单的、格式固定或非协商的SLA,以及有限的恢复责任,Diab说。那么在寻找安全即服务或此类最佳实践信息的企业可以多参考各类资料。例如云安全联盟的安全即服务工作组在2012年10月就已完成了一个同行业评审流程,并公布了实施指导文件。
该工作组的实施指导文件包含了对每一服务类别的同行评议文档,这些服务类别包括了身份识别和访问管理、数据丢失保护、Web安全、入侵管理、电子邮件安全、加密、业务连续性和灾难恢复、网络安全和安全评估等。
由于这些服务中有很多都是新的,因此在采用安全即服务之前首先查找关于这些服务的资料应该是一个不错的办法。