安全:在本地還是云端?
擁有CISSP、CISM、CISA等多項認證資格,Dell Sonicwall網絡公司產品營銷經理Daniel Ayoub如是說,盡管某些安全解決方案——例如郵件安全——可能在云環境下更具前景,但網絡安全的重任始終要由本地方案來承擔。
沒錯,很多工作內容在進入云環境后都會變得更易于管理,但安全性顯然是個例外。
以下一代防火墻及下一代IPS為代表的網絡安全設備仍然堅守著自己的本地特性,這是因為企業需要嚴格控制所有出入其網絡的數據流。延遲以及與云供應商之間傳遞機密數據所引發的風險是大多數管理者所難以容忍的。
此外,大多數現代化本地解決方案都能通過自動更新獲得最新防護手段,并借此為云環境提供第二層攻擊抵御機制。舉例來說,某些工具能利用云數據庫中的數百萬簽名識別并將惡意軟件拒之門外。然而此類服務大多屬于可選方案,所以完全不允許機密數據流出內部網絡的企業可以通過禁用直接將該功能關閉。在這種情況下,本地解決方案無疑是眾多保護機制中的最佳選擇。
沒錯,很多工作內容在進入云環境之后都會變得更易于管理,但安全性顯然是個例外。大多數企業用戶都希望把機密數據嚴格控制在系統內部、而很不情愿讓此類信息與云服務供應商進行流通(除非經過嚴格加密),這是管理者自我保護的天性,當然無可厚非。分布式拒絕服務攻擊的防護等功能會在與云牽手之后帶來更好的效果,但我要再次強調,ISP層仍然是這些機制的最佳工作環境。
不同的機構在風險承受能力方面也不盡相同,因此在本地還是云端的選擇方面,每位IT管理者也一定有著自己的打算。舉例來說,像國防部這樣與風險堅決對立的組織必須將所有數據嚴格控制在內部系統當中,因此本地解決方案較為適合。但對于那些敏感信息相對較少的機構而言,云基礎解決方案也許更具吸引力。
在多數情況下,風險承受能力較強的公司(例如小型企業)往往成為云服務供應商寶貴的利基市場,并扮演著云技術調整的前沿陣地與培養溫室。但重要的是我們還應該注意到,本地解決方案(例如集成化統一威脅管理設備)的總體持有成本往往比云環境更高。雖然直接比較之下,云方案的短期支出數額更具吸引力,但在四到五年的中長期合約之中,按月按需計費的云產品在支出方面同樣相當不菲。從長遠角度來看,本地解決方案比云方案更便宜。
目前,Dell Sonicwall網絡公司已經充分利用云計算技術實現全方位保護,但我們的核心業務仍然堅定不移地立足于本地解決方案。說起與云環境攜手的常見技術,郵件安全、托管服務以及網關防病毒工作無疑是大家最熟悉的內容。我們必須認識到,全局數據收集與更新管理系統也可以被視為“云”技術的一種或者延伸,這一點非常重要。
下面我們一起看看哪些機構可能需要保留本地安全部署方案:
軍事機構很可能需要時刻保證本地網絡不與外界存在任何形式的連通,因為他們絕不容許涉及國家機密等極度敏感的數據被云基礎方案截獲或者更改。
與之類似,以銀行及信用卡代理中心為代表的金融服務類用戶同樣需要時刻保證本地網絡不與外界存在任何形式的連通,因為他們絕不容許涉及財務記錄、賬目及資金轉移等極度敏感的數據被云基礎方案截獲或者更改。
云基礎類安全方案確實能帶來諸多便利,將網絡安全交由云環境處理能為企業節省大量財力與人力。與傳統中以本地系統為基礎的各類工具、帶寬、IT團隊以及數據安全基礎設施部署等一系列燒錢項目相比,云方案前期部署的成本優勢極為明顯。這就意味著企業能夠花小錢辦大事,并在未來的發展過程中隨時根據自身需要調整云環境規模。另外,過去我們需要在內部系統中自己部署防火墻、同時投入大量成本建設數據中心及其冗余附件;但在云服務領域,安全保護及故障轉移等功能通常由供應商負責,這在無形中又省下了一大筆錢。
不過從另一個角度來看,本地安全設備所帶來的安全性與控制優勢絕不是云環境所能比擬的。本地解決方案為企業提供了強大的全局數據控制能力,一切盡在IT團隊的管理與掌握之中。本地解決方案在威脅保護方面的表現也優于云部署類方案。
正確的解決方案必須具備可擴展性,這樣即使企業規模快速增長、我們仍然可以通過升級等方式實現工具與業務的齊頭并進,并最終將業務中斷的可能性降到最低。本地網絡安全系統所提供的豐富功能使技術人員得以針對特定行業拿出高度集成化且功能吻合緊密的定制方案——快速實現網絡取證就是其中的代表。綜合以上討論的內容,我們可以看到本地網絡安全方案的長期成本并不高,這一點在大型企業領域表現得尤為明顯。#p#
以云為基礎的安全體系至關重要
CloudPassage公司產品部門副總裁Rand Wacker如是說。云服務的普及速度令人震驚,在其幫助之下,企業用戶能夠將原先依賴于軟件的一切項目轉移到基礎設施即服務產品當中,進而改善業務靈活性、壓縮資金成本同時簡化操作。云計算資源離不開動態特性,因此要想讓保護機制具有與受保護對象同級別的可擴展性及可移植性,我們必須要選擇同樣動態化的安全方案。換言之,新環境需要以云為基礎的安全體系,
與傳統的靜態部署相比,云環境中的安全服務在擴展性及反應速度上都要更勝一籌……
不同于傳統的本地安全系統,云環境中的安全服務在擴展性及反應速度上都勝過靜態方案。其按需計費的原則也比本地方案更為經濟,免去了構建額外容量以適應未來發展的巨大弊端。最重要的是,只有云環境中的安全服務才能夠迎合管理者對動態及高度自動化執行模式的要求,這一特性也已經吸引了眾多企業關注的目光。
讓我們來看具體的例子:基礎設施資源的自助式供應。開發人員能夠在短短數分鐘內創建起虛擬云服務器,這種便捷性大大縮短了軟件的交付時間。如果依照過去的做法,開發人員需要在推出成品之后慢慢等待IT部門為其完善配套的訪問控制、完整性監控及入侵檢測等一系列輔助項目,這將直接導致自助式特性的優勢喪失殆盡。另一方面,開發人員出于種種考慮往往需要繞過現有流程,這將使IT與安全團隊在新項目面前感到無從下手。
當一臺新的服務器在本地數據中心內部正式上線時,我們還需要一步步執行安全策略。但在上面所提到的自助式服務器部署當中,安全任務能以自動化的形式成為整體交付流程中的一部分。防火墻及訪問控制政策必須進行升級,新創建的服務器鏡像必須符合安全政策,所有軟件包也需要立即更新——這類簡單重復勞動就應該交給自動化程序打理。
此外,由于云服務器直接與互聯網相連通(這與被封閉在私有數據中心內的服務器完全不同),因此管理者需要不斷監測其漏洞、未經授權的惡意活動或者其它異常系統變化。
除非我們能以自動化的管理及交付方式保護這類高度動態化的云系統,否則開發人員將被浩如煙海的控制工作所淹沒、最終陷入身心俱疲的被動狀態。
全新安全服務的普及總要晚于全新IT系統的部署,這是因為技術團隊需要花時間來理解、處理并驗證新系統所帶來的安全挑戰。雖然在新興市場中,用戶往往能夠接受在缺乏配套安全功能的情況下提前使用新技術,但云計算的情況則有所不同。鑒于其掌控的信息可能極為重要,我們不得不在解決了安全問題之后才能放心將云技術大規模引入業務環境。
在云計算領域,運營理念及風險管理將扭轉“我們需要控制一切”的陳舊思路,轉而邁向買家與服務供應商分擔責任的新方向。安全設計正在發展,技術堆棧中的不同部分必然將由不同體系進行管理;如今遍布私有數據中心內部的終端到終端合規性水平方案也將被新的分層管理框架所取代。
基于同樣的原因,由云環境交付的應用程序及基礎設施也優于傳統的本地交付——這類安全產品成本更低、操作更方便、靈活性也更強。為了保護企業IT部門所部署的混合型基礎設施組合,選擇基于云的安全服務可謂勢在必行——它能夠為保護措施帶來更多自動化特性、引入新的操作模式、并最終顯著提高企業的發展步伐。
