安全：在本地还是云端？

拥有CISSP、CISM、CISA等多项认证资格，Dell Sonicwall网络公司产品营销经理Daniel Ayoub如是说，尽管某些安全解决方案——例如邮件安全——可能在云环境下更具前景，但网络安全的重任始终要由本地方案来承担。

没错，很多工作内容在进入云环境后都会变得更易于管理，但安全性显然是个例外。

以下一代防火墙及下一代IPS为代表的网络安全设备仍然坚守着自己的本地特性，这是因为企业需要严格控制所有出入其网络的数据流。延迟以及与云供应商之间传递机密数据所引发的风险是大多数管理者所难以容忍的。

此外，大多数现代化本地解决方案都能通过自动更新获得最新防护手段，并借此为云环境提供第二层攻击抵御机制。举例来说，某些工具能利用云数据库中的数百万签名识别并将恶意软件拒之门外。然而此类服务大多属于可选方案，所以完全不允许机密数据流出内部网络的企业可以通过禁用直接将该功能关闭。在这种情况下，本地解决方案无疑是众多保护机制中的最佳选择。

没错，很多工作内容在进入云环境之后都会变得更易于管理，但安全性显然是个例外。大多数企业用户都希望把机密数据严格控制在系统内部、而很不情愿让此类信息与云服务供应商进行流通（除非经过严格加密），这是管理者自我保护的天性，当然无可厚非。分布式拒绝服务攻击的防护等功能会在与云牵手之后带来更好的效果，但我要再次强调，ISP层仍然是这些机制的最佳工作环境。

不同的机构在风险承受能力方面也不尽相同，因此在本地还是云端的选择方面，每位IT管理者也一定有着自己的打算。举例来说，像国防部这样与风险坚决对立的组织必须将所有数据严格控制在内部系统当中，因此本地解决方案较为适合。但对于那些敏感信息相对较少的机构而言，云基础解决方案也许更具吸引力。

在多数情况下，风险承受能力较强的公司（例如小型企业）往往成为云服务供应商宝贵的利基市场，并扮演着云技术调整的前沿阵地与培养温室。但重要的是我们还应该注意到，本地解决方案（例如集成化统一威胁管理设备）的总体持有成本往往比云环境更高。虽然直接比较之下，云方案的短期支出数额更具吸引力，但在四到五年的中长期合约之中，按月按需计费的云产品在支出方面同样相当不菲。从长远角度来看，本地解决方案比云方案更便宜。

目前，Dell Sonicwall网络公司已经充分利用云计算技术实现全方位保护，但我们的核心业务仍然坚定不移地立足于本地解决方案。说起与云环境携手的常见技术，邮件安全、托管服务以及网关防病毒工作无疑是大家最熟悉的内容。我们必须认识到，全局数据收集与更新管理系统也可以被视为“云”技术的一种或者延伸，这一点非常重要。

下面我们一起看看哪些机构可能需要保留本地安全部署方案：

军事机构很可能需要时刻保证本地网络不与外界存在任何形式的连通，因为他们绝不容许涉及国家机密等极度敏感的数据被云基础方案截获或者更改。

与之类似，以银行及信用卡代理中心为代表的金融服务类用户同样需要时刻保证本地网络不与外界存在任何形式的连通，因为他们绝不容许涉及财务记录、账目及资金转移等极度敏感的数据被云基础方案截获或者更改。

云基础类安全方案确实能带来诸多便利，将网络安全交由云环境处理能为企业节省大量财力与人力。与传统中以本地系统为基础的各类工具、带宽、IT团队以及数据安全基础设施部署等一系列烧钱项目相比，云方案前期部署的成本优势极为明显。这就意味着企业能够花小钱办大事，并在未来的发展过程中随时根据自身需要调整云环境规模。另外，过去我们需要在内部系统中自己部署防火墙、同时投入大量成本建设数据中心及其冗余附件；但在云服务领域，安全保护及故障转移等功能通常由供应商负责，这在无形中又省下了一大笔钱。

不过从另一个角度来看，本地安全设备所带来的安全性与控制优势绝不是云环境所能比拟的。本地解决方案为企业提供了强大的全局数据控制能力，一切尽在IT团队的管理与掌握之中。本地解决方案在威胁保护方面的表现也优于云部署类方案。

正确的解决方案必须具备可扩展性，这样即使企业规模快速增长、我们仍然可以通过升级等方式实现工具与业务的齐头并进，并最终将业务中断的可能性降到最低。本地网络安全系统所提供的丰富功能使技术人员得以针对特定行业拿出高度集成化且功能吻合紧密的定制方案——快速实现网络取证就是其中的代表。综合以上讨论的内容，我们可以看到本地网络安全方案的长期成本并不高，这一点在大型企业领域表现得尤为明显。

以云为基础的安全体系至关重要