安全即服務
出自 MBA智库百科(https://wiki.mbalib.com/)
安全即服務(Security as a Service; SaaS)
目錄 |
安全即服務(security-as-a-service,SaaS)是一個用於安全管理的外包模式。通常情況下,安全即服務包括通過互聯網發佈的應用軟體(如反病毒軟體),但這個詞也可以指外部組織提供的內部安全管理。
安全即服務有很多好處,其中包括:1.持續的病毒定義更新。2.更高的安全專業知識。3.更快的用戶配置。4.管理任務外包,如日誌管理,可以節省時間和金錢,使一個組織能把更多的時間用於其核心競爭力。5.一個Web界面,允許一些任務內部管理,以及查看安全環境和正在進行的活動。
基於互聯網的安全(有時稱為雲安全)產品是軟體即服務(SaaS)的一部分。Gartner公司預測,用於信息應用程式(如反惡意軟體和反垃圾郵件程式)的基於雲的安全控制在2013年將在該行業中產生60%的收入,高於2008年的20%。
安全即服務(SaaS)產品的廠商有思科、McAfee、熊貓軟體、賽門鐵克、趨勢科技和VeriSign公司。
1.人員力量增強
信息安全是一種勞動密集型工作。我們可以自動化很多工作,但最終總是需要人來做出判斷。我們需要從伺服器、網路設備、防火牆和入侵檢測系統收集日誌,這些都要求工作人員完全集中註意力。勞動力是安全計劃中最繁忙的。數據泄露隨時可能會發生,而系統始終“忠誠地”記錄著信息,直到有人有足夠的時間來轉譯這些日誌信息。最近發生了很多涉及系統滲透的數據泄露事故,這些泄露數月後才被安全團隊發現。並且,這些數據泄露事故的報告往往來自外部第三方,因為內部沒有人有時間來轉譯這些日誌數據。
這也是安全即服務派上用場的地方。雲計算主要是共用資源以實現規模經濟。安全即服務解決方案可以指派團隊處理特定活動(例如監控日誌),併在很多不同客戶間分攤成本,為大家降低單位成本。安全計劃現在可以提供一個專門的日誌監控小組,如果沒有基於雲計算的模式,這是不可能實現的。這提高了安全計劃的有效性,並且讓內部人員有更多時間放在更高層次的風險管理工作上。
2.提供先進的安全工具
我們都做過這樣的事:下載需要投入大量時間以降低安全風險的開源安全工具。這些開源工具是免費的,並且也不需要其他預算。開源技術並沒有問題,甚至非常好用。不幸的是,開源技術需要花費大量時間來在生產環境中安裝和維護。例如,你花了多少小時來試圖找到一個Snort規則,以讓你的IDS服務啟動?
在另一個領域,部署安全即服務也十分有效:你的安全計劃還可以通過雲計算規模經濟獲得先進的安全工具。這些可用安全工具的質量和種類可以與其他企業內部部署的商業產品媲美,且花費沒那麼多。更重要的是,這些工具將由雲服務供應商來維護,所以你有足夠的時間來利用這些工具的優勢。
3.提供專業技術知識
信息安全是一個廣泛的話題,不可能有人瞭解各個方面的各個細節。例如,一些安全專業人士專註於取證,而另一些則專註於Web應用安全。其他人則因為在企業的安全計劃中缺乏足夠的人力資源,而僅有全面但不精細的安全知識。這種知識方面的差距可能導致嚴重的盲點--無法察覺到風險,更別提緩解風險。
安全即服務可以幫助解決這個問題。提供基於雲計算的安全的供應商主要側重於信息安全的特定方面。例如,一些供應商提供基於雲的漏洞掃描儀(由專家維護)來檢測互聯網中可利用的系統。其他雲供應商則圍繞抵禦拒絕服務(DoS)攻擊來建立自己的整個網路。企業沒有足夠的資金聘請相關安全專家或部署資源,而安全即服務讓企業可以利用這些專家和資源的優勢。這使得內部安全人員不用過多關註技術細節,而更多地關註如何戰略性地管理企業的信息安全風險。
4. 將信息安全定位為業務推動力
信息安全部門通常被認為是在企業活動中設置路障的部門,造成這種想法的原因有很多,而這實際上可能並不是信息部門的錯誤。企業中的一些人可能不理解用於保護機密數據的加密或防火牆技術的重要性。即使他們明白這些技術背後的原因,他們肯定也不明白部署這些安全技術所需要的時間。
安全即服務也可以幫助解決這個問題。它不能讓企業其他部門瞭解安全需求,但它能確保更快的部署安全技術,而這可以減少既定的企業項目的影響。這是所有基於雲計算的安全服務的一個關鍵優勢,安全計劃必須利用這一優勢。例如,虛擬伺服器可以快速自動地通過相同的防火牆規則來配置。這還可以讓信息安全部門與企業領導建立不同的關係,並可以改變人們對信息安全的看法,將其視為業務推動者,而不是障礙。
5.一種新方法
除了安全即服務的諸多好處外,一些新類型基於雲計算的安全也具有一定的優勢。除了傳統的電子郵件和Web過濾安全即服務外,還有一些新服務值得企業關註,它們可以幫助解決安全行業一直在努力解決而未見成效的老問題。雲計算模式的引入為我們提供了一種新方法,也許可以幫助我們解決這些難題。
6.身份管理
密碼是眾多老問題中的一個,它幾乎與多用戶計算同時出現。在20世紀80年代的一部電影中,我們看到了一個黑客從便利貼竊取系統密碼,現在,員工仍然將寫有密碼的便利貼放在其鍵盤下。用戶管理單個密碼都有困難,更別提現代環境中讓他們背負10個密碼。
對於系統管理員和人力資源部門而言,管理員工賬戶並不是簡單的工作。新員工都在等待訪問系統以完成其工作,而有時候,當員工離職後,其賬戶可能沒有被及時禁用。這種複雜的手動系統給系統管理員和人力資源兩方面都帶來安全風險。
有幾個可靠的安全即服務產品可以加快賬戶管理過程,並提供單點登錄功能。它們可以與雲端的系統以及內部網路中的系統配合使用。這些服務利用了開放標準協議(例如SAML),甚至允許結合內部微軟Active Directory基礎設施。通過這種混合方法,即內部和外部服務從同一來源進行身份驗證,企業可以節省時間和資金,簡化密碼過程,同時還降低整體風險。
7.虛擬機管理
在單個硬體伺服器運行多個虛擬伺服器是信息技術領域最具顛覆性的改變。企業迅速部署私有雲、公共雲和混合雲來取代擠滿數據中心的物理硬體。然而,這項技術也可能給信息安全帶來破壞性的影響,同時帶來更多新的挑戰。
在公共雲或私有雲管理虛擬伺服器的挑戰之一是配置管理。配置管理包括通過基於企業政策的安全方法配置和維護伺服器,這些方法有防火牆政策、文件系統許可權和安裝的服務。支持這一過程的技術已經充斥在數據中心中。基於雲計算的配置管理系統需要能夠跨多個雲服務供應商和內部數據中心提供這種功能。
用於配置管理的基於雲計算的安全服務提供這種功能。它們用越來越多針對Windows伺服器的功能提供對Linux的完整控制,它們還可以用於GoDaddy.com托管的伺服器以及Linode托管的伺服器。令人驚訝的是,這些新的基於雲的配置管理系統更易於配置,並且與之前內部托管系統一樣強大。這是值得安全專業人士關註的另一個基於雲計算的安全服務,即使他們只有內部伺服器資源需要管理。
8.網路層保護
在過去幾年中,保護對基於互聯網的資產的網路連接變得越來越迫切。現在,網站正越來越多地受到網路犯罪分子和黑客組織的攻擊。黑客組織Anonymous使用低技術工具(例如Low Orbit Ion Cannon)對各種企業發動DoS攻擊繼續成為新聞頭條,這種類型的攻擊主要出現在企業靠互聯網來訪問基於雲的應用的當下。
對這種針對雲資產的攻擊的最好防禦其實是雲本身。一些安全即服務解決方案通過利用大量帶寬和智能協議路由,來提供針對DoS攻擊的保護。這些服務還可以將Web伺服器隱藏在其前端伺服器後,防止遭受路過式攻擊。其他基於雲計算的安全包括PCI DSS、數據標記化、web應用防火牆以及隱藏DNS伺服器。
對於緩解安全風險,世界上並不存在完美的工具,安全即服務也不例外。基於雲計算的安全服務和所有其他雲服務相同的安全風險一樣,主要分為以下幾個類別:
1. 雲供應商對你的數據擁有一定程度的訪問許可權。雲供應商必須謹慎處理安全相關的數據,因為這些數據的泄露可能導致多個數據泄露事故。更全面的雲計算服務應使用加密技術,但這裡仍然存在供應商密鑰管理的問題。對於需要擁有最高數據保密性的應用的企業,最好考慮使用內部解決方案。
2. 安全即服務將是從互聯網訪問。對於內部系統,安全專業人員不需要考慮這個風險,在過去,將內部防火牆管理工具暴露在互聯網從來都是不被接受的做法。這些伺服器的身份驗證系統必須提供強大的多因素身份驗證,以確保適當的保護水平。你還需要考慮潛在的DoS攻擊,如果沒有強大的保護,攻擊者可能會修改服務或者阻止企業管理或訪問這些服務。
3. 安全即服務供應商間輸出服務的開放標準不太可能。使用這些服務的企業需要明白供應商間的任何切換將是完全手動的操作,包括在新供應商處重新建立防火牆規則、虛擬機配置和身份驗證方法。
4. 企業應該進行詳細的供應商盡職調查審計,以對待任何其他雲服務供應商的方式來對待安全即服務。企業應該仔細選擇供應商,並調查其財務狀況,以確保他們不會突然人間蒸發。徹底檢查服務供應商的信息安全狀態,從SAS-70或者SSAE-16審計報告以及漏洞評估報告開始。企業需要完全信任雲供應商,所以,這種審計是至關重要的。
5. 對於基於雲計算的安全服務,合規是另一個難以解決的問題。一個服務可以提供一流的審計報告,並滿足所有盡職調查的技術要求,然而,卻可能仍然不能滿足合約或法律協議,例如HIPAA法案要求的商業伙伴合約(Business Associate Agreement)。這種情況正在改善,但企業必須瞭解安全即服務供應商將如何滿足其特定的合規要求。
安全即服務起源[1]
安全即服務的起源有三個推動力。最早的推動力在距今十年前:垃圾郵件,或者說是不明來源的電子郵件。早在1999年,就有公司(註: 例如Postini公司, 它於2007年9月被Google公司收購)提供如下的電子郵件服務。Postini公司的理念是:電子郵件應當變得更好,而且可以變得更好。儘管電子郵件是最流行的互聯網資源,但服務提供商和軟體開發者並沒有使電子郵件變得更好,最糟糕的是,積極的市場營銷人士把任何電子郵件用戶都作為潛在的用戶。Postini公司的服務可以用來擴展你的服務提供商的電子郵件產品的能力。針對垃圾郵件的服務只是第一步。在未來的幾個月中,你會看到更多的Postini服務,使電子郵件變得更好(註:根據2000年5月10日Postini.com的互聯網檔案館時光機。另一家電子郵件過濾公司MessageLabs,成立於1999年,併在2008年5月被Symantec收購, 曾經把自己稱為應用程式服務提供商—— 雲計算的早期演變)。一些其他的公司現在也提供電子郵件過濾服務,這都是些獨立的安全公司,許多互聯網服務提供商(ISP)也常常使用自己的品牌轉售這些獨立安全公司的服務。
安全即服務的第二個推動力是托管安全服務(MSS)。托管安全服務提供商(MSSP)已經為用戶提供了數年的外包服務,在這種模式下,MSSP替機構管理其網路安全設備,例如,防火牆和入侵檢測系統(IDS)。使用MSS的動力與雲計算相同的:相對於機構內部的解決方案,通過共用資源可以降低費用。MSSP和CSP的區別在於:MSSP的共用資源是人員,而不是基礎設施。此外,由於很多機構沒有配備人員去處理全天24小時對於此類服務的支持,也沒有為此類崗位配置充足的具有專門知識的人員,MSSP的共用服務(如人員)模式在財政上則變得十分有吸引力。MSSP模式成為雲計算服務提供商的推動力,是因為MSSP模式打破了機構信息安全項目外包部分非正式但十分強大的障礙。在這種情況下,外包也意味著信息安全設備的遠程運行模式管理。 (雖然外包信息安全常常是個選項,但最初的外包是趨於本地運行模式,即在用戶自己的設施內,與遠程運行模式有所不同。當然,現在的外包可以是本地運行模式、遠程運行模式、在岸外包 離岸外包以及交付模式的其他變體。)
在MSSP模式下,雖然網路安全工作外包了,但用戶安全的責任還是留在了用戶這邊。用戶負責管理和監測MssP,並選擇執行各種安全策略。MSSP監測和管理設備(如防火牆、入侵檢測系統)以及數據流(如網路、內容或電子郵件過濾),這些設備(包括用來管理和監測數據流的設備)是屬於用戶的。因此,節約成本和提高效率也只能到此而已。儘管這是訂購類型的服務(運營成本,常寫作OpEx),但還存在用戶本地硬體的相關資本開支(常寫作CapEx)。使用雲計算, 由於絕大部分的設備以及監測和管理都由安全即服務提供商負責,資本開支將進一步縮減。
安全即服務的第三個推動力是直接在終端提供安全,組織效率會下降。不僅僅因為終端數目的激增,許多配置變數也是IT部門無法有效管理的;此外,由於許多終端是可移動的,解決配置問題並保持安全軟體及時更新也會成為艱巨的任務;再加上許多移動設備缺乏足夠的資源(如處理能力、記憶體和存儲能力)用以處理當今的終端保護套件,終端保護的情況並不樂觀。
由於這些問題,加之惡意軟體的爆炸式增長,終端保護成為一個日益嚴重的問題。例如, “在2008年,Symantec檢測出1 656227個惡意代碼威脅。這占據了Symantec長期以來檢測的約260萬惡意代碼威脅的60%” (註:Symantec全球互聯網安全威脅報告: “2008年趨勢” , 第14捲第1O頁,2009年4月出版)。這導致了終端保護的思維改變。為什麼不通過雲計算保護終端,而合棄在終端上進行終端保護呢?也就是說,為什麼不經過雲計算清理出入終端的網路流量,合棄試圖監測和管理終端自身的複雜處理,將監測和管理出入終端網路流量的活動(而不是監測和管理終端設備自身)轉移到雲計算中進行呢?
將反惡意軟體保護措施遷移到雲計算中而不是駐留在終端,這個概念在2008年7月於加利福尼亞州聖何塞市召開的USENIX 會議的論文中得到了相當大的強化。論文標題為“CloudAV:N—Version Antivirus in the NetworkCloud”,論文表明基於雲計算的反病毒(如反惡意軟體)對近期威脅的檢測能力較基於終端的單引擎檢測能力可提高35%,使總體檢測率達到98%,這顯著優於運行在終端的單引擎的檢測結果。(由於終端資源的限制以及運行多引擎的不兼容性,終端一般一次僅僅運行一個反惡意軟體引擎。)
安全即服務的應用[1]
當今在安全即服務部分的產品涉及幾個改進信息安全的服務:電子郵件過濾(包括備份、歸檔和電子發現(註: 電子發現是指民事訴訟方面對於電子格式信息的發現。雖然電子發現不(也不應當)局限於電子郵件, 但由於機構的許多信息是通過電子郵件傳送的, 電子郵件明顯成為開始電子發現程式的最佳位置),網頁內容過濾,漏洞管理,身份即服務(在本文中寫作IDaaS)。
在電子郵件方面,安全即服務主要涉及清理垃圾郵件、釣魚電子郵件以及包含在傳人到機構的電子郵件流中的惡意軟體,然後將乾凈的電子郵件安全的提供給機構,以便郵件不會再次遭受污染。這種方法的好處是: 由於使用多引擎,用戶不僅能得到更加全面的安全,還可以改善設備的性能(因為反惡意軟體的引擎是運行在雲計算中,而不是直接運行在終端),並能夠得到更好的對於反惡意軟體的管理。反惡意軟體管理優於終端解決方案,是因為反惡意軟體是與操作系統和處理器無關的,這樣可以通過雲計算集中管理,而不用處理很可能從多個反惡意軟體提供商處獲得的多個管理系統。這種在雲計算中清理的服務必然會帶來的好處是:減少電子郵件使用的帶寬、降低機構電子郵件伺服器的負荷, 以及提高機構(或收件人)自身反惡意軟體努力的效果。雖然在電子郵件方面,安全即服務的絕大部分註意力集中於人站電子郵件,但在出站電子郵件方面也常常使用安全即服務。許多機構想要確保他們不會無意間發送感染了惡意代碼的電子郵件,通過安全即服務清理出站電子郵件是阻止此類問題和避免尷尬的好方法。此外,對於出站的電子郵件可以使用安全即服務以執行機構關於電子郵件加密的策略(例如,在指定的電子郵件域內,如屬於業務合作伙伴或者屬於用戶的電子郵件域)。通常電子郵件加密在(電子郵件)伺服器到伺服器層面執行,這樣不需要個人用戶參與,也不需要密鑰管理。這可以通過在傳輸層的網路通信中使用安全套接字層(SSL)或傳輸層安全協議(TLS)實現。
使用安全即服務反惡意軟體的進一步好處是,在跨越了企業所有終端的可見惡意軟體威脅當中提煉出來的整體智能特性,與類型(如伺服器、台式機、筆記本電腦或移動設備)、位置、操作系統或者處理器架構無關,可以及時擁有更大的視野,對於機構的信息安全隊伍而言有很大幫助。
電子郵件安全即服務也包括電子郵件備份和歸檔。這個服務通常涉及在集中的存儲庫中存儲和索引機構電子郵件信息及附件。這個集中的存儲庫允許機構通過一些參數索引和搜索,參數包括數據範圍、收件人、發件人、主題和內容。這些功能對於電子發現非常有用,如果沒有這些功能,電子發現的過程可能耗資巨大。
當屬於機構的終端,無論在機構設施內、在家或者在公路上,試圖獲取網頁流量時,這些流量被轉移到安全即服務提供商處,併進行惡意軟體威脅的掃描,以確保只有乾凈的流量傳送到終端用戶。機構可以通過允許、阻止或限制流量(減少流量所用的帶寬)的方式執行其網頁流量策略。由於當今可訪問網站的數目異常龐大,早期部署於機構內部的URL (統一資源定位符)過濾解決方案變得越來越低效。安全即服務提供商可以通過檢查HTTP (超文本傳輸協議)頭信息、頁面內容以及嵌入的鏈接,更好地瞭解網站內容,從而為URL過濾措施提供輔助。此外,這些服務使用集體信譽記分制以加強過濾的精度。
網頁內容的安全即服務還包括對出站網路流量掃描,防止用戶可能沒有合適授權(數據泄露保護)而向外傳遞敏感信息(如ID號碼、信用卡信息、知識產權)。網路流量的掃描還包括內容分析、文件類型以及模式匹配, 以阻止數據泄露。
隨著互聯網機構在規模和複雜度上的增長,以及這些機構運行重要性的提升,確保相關係統的安全配置及運行變得愈加重要,也愈加困難。有的安全即服務提供商對系統漏洞進行發現,評估並確定優先順序別,之後報告並補救這些漏洞以確保系統的安全運行。這些信息也用於監測及報告合規性(如支付卡行業的數據安全標準)。
相對於電子郵件過濾、網頁內容過濾和漏洞管理等安全即服務中的實力型產品,身份管理即服務(IDaaS)是近期出現的安全即服務的實例。與雲計算中使用的身份及訪問管理(IAM)相比,目前的身份及訪問管理在功能上有明顯的缺陷(如可擴展性)。身份管理即服務試圖在雲計算中提供身份及訪問管理服務。比較早期的身份管理即服務產品往往把重點放在身份驗證上,因為這是用戶最關心的問題。然而,對於雲計算服務提供商而言,最重大的問題是關於身份管理即服務提供商,以及開發某種形式的協同元系統。 (正如元目錄在機構內不會改變規模,虛擬目錄也不會根據云計算的水平而改變規模。)身份管理即服務提供商也需要為雲計算用戶提供其他的身份及訪問管理服務,包括授權(至少包括群組和角色)、用戶開通和審計。
!