科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全安全:在本地还是云端?

安全:在本地还是云端?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

拥有CISSP、CISM、CISA等多项认证资格,Dell Sonicwall网络公司产品营销经理Daniel Ayoub如是说,尽管某些安全解决方案——例如邮件安全——可能在云环境下更具前景,但网络安全的重任始终要由本地方案来承担。

来源:网界网 2012年11月12日

关键字: 云安全

  • 评论
  • 分享微博
  • 分享邮件

本地安全体系之地位不可动摇

拥有CISSP、CISM、CISA等多项认证资格,Dell Sonicwall网络公司产品营销经理Daniel Ayoub如是说,尽管某些安全解决方案——例如邮件安全——可能在云环境下更具前景,但网络安全的重任始终要由本地方案来承担。

没错,很多工作内容在进入云环境后都会变得更易于管理,但安全性显然是个例外。

以下一代防火墙及下一代IPS为代表的网络安全设备仍然坚守着自己的本地特性,这是因为企业需要严格控制所有出入其网络的数据流。延迟以及与云供应商之间传递机密数据所引发的风险是大多数管理者所难以容忍的。

此外,大多数现代化本地解决方案都能通过自动更新获得最新防护手段,并借此为云环境提供第二层攻击抵御机制。举例来说,某些工具能利用云数据库中的数百万签名识别并将恶意软件拒之门外。然而此类服务大多属于可选方案,所以完全不允许机密数据流出内部网络的企业可以通过禁用直接将该功能关闭。在这种情况下,本地解决方案无疑是众多保护机制中的最佳选择。

没错,很多工作内容在进入云环境之后都会变得更易于管理,但安全性显然是个例外。大多数企业用户都希望把机密数据严格控制在系统内部、而很不情愿让此类信息与云服务供应商进行流通(除非经过严格加密),这是管理者自我保护的天性,当然无可厚非。分布式拒绝服务攻击的防护等功能会在与云牵手之后带来更好的效果,但我要再次强调,ISP层仍然是这些机制的最佳工作环境。

不同的机构在风险承受能力方面也不尽相同,因此在本地还是云端的选择方面,每位IT管理者也一定有着自己的打算。举例来说,像国防部这样与风险坚决对立的组织必须将所有数据严格控制在内部系统当中,因此本地解决方案较为适合。但对于那些敏感信息相对较少的机构而言,云基础解决方案也许更具吸引力。

在多数情况下,风险承受能力较强的公司(例如小型企业)往往成为云服务供应商宝贵的利基市场,并扮演着云技术调整的前沿阵地与培养温室。但重要的是我们还应该注意到,本地解决方案(例如集成化统一威胁管理设备)的总体持有成本往往比云环境更高。虽然直接比较之下,云方案的短期支出数额更具吸引力,但在四到五年的中长期合约之中,按月按需计费的云产品在支出方面同样相当不菲。从长远角度来看,本地解决方案比云方案更便宜。

目前,Dell Sonicwall网络公司已经充分利用云计算技术实现全方位保护,但我们的核心业务仍然坚定不移地立足于本地解决方案。说起与云环境携手的常见技术,邮件安全、托管服务以及网关防病毒工作无疑是大家最熟悉的内容。我们必须认识到,全局数据收集与更新管理系统也可以被视为“云”技术的一种或者延伸,这一点非常重要。

下面我们一起看看哪些机构可能需要保留本地安全部署方案:

军事机构很可能需要时刻保证本地网络不与外界存在任何形式的连通,因为他们绝不容许涉及国家机密等极度敏感的数据被云基础方案截获或者更改。

与之类似,以银行及信用卡代理中心为代表的金融服务类用户同样需要时刻保证本地网络不与外界存在任何形式的连通,因为他们绝不容许涉及财务记录、账目及资金转移等极度敏感的数据被云基础方案截获或者更改。

云基础类安全方案确实能带来诸多便利,将网络安全交由云环境处理能为企业节省大量财力与人力。与传统中以本地系统为基础的各类工具、带宽、IT团队以及数据安全基础设施部署等一系列烧钱项目相比,云方案前期部署的成本优势极为明显。这就意味着企业能够花小钱办大事,并在未来的发展过程中随时根据自身需要调整云环境规模。另外,过去我们需要在内部系统中自己部署防火墙、同时投入大量成本建设数据中心及其冗余附件;但在云服务领域,安全保护及故障转移等功能通常由供应商负责,这在无形中又省下了一大笔钱。

不过从另一个角度来看,本地安全设备所带来的安全性与控制优势绝不是云环境所能比拟的。本地解决方案为企业提供了强大的全局数据控制能力,一切尽在IT团队的管理与掌握之中。本地解决方案在威胁保护方面的表现也优于云部署类方案。

正确的解决方案必须具备可扩展性,这样即使企业规模快速增长、我们仍然可以通过升级等方式实现工具与业务的齐头并进,并最终将业务中断的可能性降到最低。本地网络安全系统所提供的丰富功能使技术人员得以针对特定行业拿出高度集成化且功能吻合紧密的定制方案——快速实现网络取证就是其中的代表。综合以上讨论的内容,我们可以看到本地网络安全方案的长期成本并不高,这一点在大型企业领域表现得尤为明显。

以云为基础的安全体系至关重要

CloudPassage公司产品部门副总裁Rand Wacker如是说。云服务的普及速度令人震惊,在其帮助之下,企业用户能够将原先依赖于软件的一切项目转移到基础设施即服务产品当中,进而改善业务灵活性、压缩资金成本同时简化操作。云计算资源离不开动态特性,因此要想让保护机制具有与受保护对象同级别的可扩展性及可移植性,我们必须要选择同样动态化的安全方案。换言之,新环境需要以云为基础的安全体系,
与传统的静态部署相比,云环境中的安全服务在扩展性及反应速度上都要更胜一筹……
不同于传统的本地安全系统,云环境中的安全服务在扩展性及反应速度上都胜过静态方案。其按需计费的原则也比本地方案更为经济,免去了构建额外容量以适应未来发展的巨大弊端。最重要的是,只有云环境中的安全服务才能够迎合管理者对动态及高度自动化执行模式的要求,这一特性也已经吸引了众多企业关注的目光。
让我们来看具体的例子:基础设施资源的自助式供应。开发人员能够在短短数分钟内创建起虚拟云服务器,这种便捷性大大缩短了软件的交付时间。如果依照过去的做法,开发人员需要在推出成品之后慢慢等待IT部门为其完善配套的访问控制、完整性监控及入侵检测等一系列辅助项目,这将直接导致自助式特性的优势丧失殆尽。另一方面,开发人员出于种种考虑往往需要绕过现有流程,这将使IT与安全团队在新项目面前感到无从下手。
当一台新的服务器在本地数据中心内部正式上线时,我们还需要一步步执行安全策略。但在上面所提到的自助式服务器部署当中,安全任务能以自动化的形式成为整体交付流程中的一部分。防火墙及访问控制政策必须进行升级,新创建的服务器镜像必须符合安全政策,所有软件包也需要立即更新——这类简单重复劳动就应该交给自动化程序打理。
此外,由于云服务器直接与互联网相连通(这与被封闭在私有数据中心内的服务器完全不同),因此管理者需要不断监测其漏洞、未经授权的恶意活动或者其它异常系统变化。
除非我们能以自动化的管理及交付方式保护这类高度动态化的云系统,否则开发人员将被浩如烟海的控制工作所淹没、最终陷入身心俱疲的被动状态。
全新安全服务的普及总要晚于全新IT系统的部署,这是因为技术团队需要花时间来理解、处理并验证新系统所带来的安全挑战。虽然在新兴市场中,用户往往能够接受在缺乏配套安全功能的情况下提前使用新技术,但云计算的情况则有所不同。鉴于其掌控的信息可能极为重要,我们不得不在解决了安全问题之后才能放心将云技术大规模引入业务环境。
在云计算领域,运营理念及风险管理将扭转“我们需要控制一切”的陈旧思路,转而迈向买家与服务供应商分担责任的新方向。安全设计正在发展,技术堆栈中的不同部分必然将由不同体系进行管理;如今遍布私有数据中心内部的终端到终端合规性水平方案也将被新的分层管理框架所取代。
基于同样的原因,由云环境交付的应用程序及基础设施也优于传统的本地交付——这类安全产品成本更低、操作更方便、灵活性也更强。为了保护企业IT部门所部署的混合型基础设施组合,选择基于云的安全服务可谓势在必行——它能够为保护措施带来更多自动化特性、引入新的操作模式、并最终显著提高企业的发展步伐。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章