隨著云計(jì)算應(yīng)用的增長(zhǎng)，托管提供商將與安全廠商簽署協(xié)議向用戶提供“security-as-a-service”(安全即服務(wù))的選擇。但是，企業(yè)IT經(jīng)理會(huì)把這種新穎的安全方式結(jié)合到云計(jì)算環(huán)境中嗎?

肯定會(huì)有一些抵制，因?yàn)镮T和安全經(jīng)理都在努力解決風(fēng)險(xiǎn)因素和法規(guī)遵從的問(wèn)題。

安全研究公司TheInfoPro的總經(jīng)理Bill Trussell說(shuō)，相當(dāng)多的機(jī)構(gòu)正在使用他們認(rèn)為是云計(jì)算服務(wù)的東西。這家研究公司剛剛發(fā)表了其半年度的對(duì)北美大型企業(yè)和中型企業(yè)的信息安全專業(yè)人員進(jìn)行的調(diào)查。但是，當(dāng)TheInfoPro詢問(wèn)受訪者他們是否在云計(jì)算環(huán)境中使用基于云計(jì)算的安全服務(wù)的問(wèn)題時(shí)，不到15%的受訪者表示很可能使用這種服務(wù)。

Trussell說(shuō)，當(dāng)問(wèn)到機(jī)構(gòu)是否會(huì)向云計(jì)算提供商擴(kuò)展用戶接入與配置或者雙因素身份識(shí)別等功能的問(wèn)題時(shí)，受訪者表示這起情況并不太常見。企業(yè)安全人員對(duì)于那些基本上不太熟悉的東西、不在他們的現(xiàn)場(chǎng)的東西、不在他們直接控制之下的東西、甚至在他們使用的云計(jì)算提供商直接控制下的東西仍然感到很緊張，因?yàn)榘踩?wù)是由擁有安全技術(shù)專長(zhǎng)的第三方廠商控制的。

不過(guò)，這些新的安全即服務(wù)計(jì)劃將很快應(yīng)用到云計(jì)算。

例如，提供基于云計(jì)算的按使用收費(fèi)的商務(wù)智能服務(wù)(包括為與Salesforce.com有關(guān)的數(shù)據(jù)提供分析服務(wù))的PivotLink與Novell合作測(cè)試Novell的云計(jì)算安全服務(wù)。這項(xiàng)服務(wù)包括根據(jù)在GoGrid托管的軟件實(shí)施的各種身份管理功能。

PivotLink負(fù)責(zé)開發(fā)的高級(jí)副總裁Bob Kemper說(shuō)，我們從Novell的服務(wù)中得到我們的身份識(shí)別。Novell的服務(wù)插入到客戶的服務(wù)中。目前，我們使用身份識(shí)別管理和他們的授權(quán)來(lái)管理這個(gè)安全水平。Novell與必要的企業(yè)系統(tǒng)集成在一起用于訪問(wèn)信息。

PivotLink的客戶(其中許多是企業(yè)的零售經(jīng)理，包括REI)要利用Novell的云計(jì)算安全服務(wù)不必在自己的現(xiàn)場(chǎng)使用Novell的軟件。

Kemper說(shuō)，如果他們?cè)谑褂肔DAP(輕量級(jí)目錄訪問(wèn)協(xié)議)或者活動(dòng)目標(biāo)基礎(chǔ)設(shè)施，它就會(huì)起作用?；谠朴?jì)算的服務(wù)利用基于SAML(安全斷言標(biāo)記語(yǔ)言)的授權(quán)。這個(gè)正在與Novell進(jìn)行測(cè)試的計(jì)劃允許一個(gè)用戶自動(dòng)解除一個(gè)將要離開的存儲(chǔ)管理員的配置，并且增加一個(gè)新的經(jīng)理，使用PivotLink服務(wù)按照同樣的角色自動(dòng)授權(quán)。

Kemper說(shuō)，我們的客戶說(shuō)，我們需要這個(gè)水平的控制和管理以及某些形式的審計(jì)。他補(bǔ)充說(shuō)，客戶說(shuō)他們對(duì)于把敏感數(shù)據(jù)上載到云計(jì)算感到更舒服。

PivotLink希望能夠在今年夏季之前公開提供基于Novell的云計(jì)算安全服務(wù)，把這個(gè)服務(wù)作為自己產(chǎn)品組合的一部分。Kemper說(shuō)，推出這些種類的安全控制的最佳方法是與Novell這樣的合作伙伴合作提供一種服務(wù)模式。Novell也維護(hù)自己的云計(jì)算。

Novell云計(jì)算安全業(yè)務(wù)部門總經(jīng)理Dipto Chakravarty說(shuō)，Novell正在與許多SaaS(軟件即服務(wù))和托管提供商聯(lián)系，以評(píng)估他們?cè)诨谠朴?jì)算的安全方面與Novell合作的興趣。

Chakravarty說(shuō)，我們的考慮是Novell必須中立地支持技術(shù)協(xié)議，支持SAML 1.1、SAML2、WS-Fed、InfoCard和OpenID以及在企業(yè)方面的Shibboleth。這個(gè)Novell云計(jì)算安全服務(wù)是一個(gè)真正的多租戶托管的安全解決方案。它可以在SaaS的托管提供商那里托管，或者由Novell的一個(gè)合作伙伴托管。

Novell并不是唯一的渴望得到基于云計(jì)算的安全服務(wù)角色的公司。

包括StillSecure和Alert Logic在內(nèi)的其它安全公司將提供入侵探測(cè)/防御(IDP/IDS)服務(wù)，在云計(jì)算服務(wù)提供商那里代表客戶保護(hù)基于虛擬機(jī)的服務(wù)器。

為醫(yī)院和健康醫(yī)療機(jī)構(gòu)提供病歷管理的Automated Document Solutions (ADS)公司的IT經(jīng)理Mike Crews說(shuō)，該公司利用Host.net作為某些目的的云計(jì)算提供商。當(dāng)Host.net幾個(gè)月前開始與StillSecure合作提供IDS/IPS服務(wù)的時(shí)候，ADS用戶得到了這種24小時(shí)不間斷監(jiān)視的好處。

Crews說(shuō)，這項(xiàng)服務(wù)是在Host.net那里得到這種類型的監(jiān)視的極好機(jī)會(huì)。ADS很難依靠自己的力量建立這種監(jiān)視能力。到目前為止，與StillSecure一起提供的這個(gè)安全服務(wù)一直工作得很好。StillSecure擁有自己的網(wǎng)絡(luò)運(yùn)營(yíng)中心，監(jiān)視在Host.net網(wǎng)絡(luò)上的ADS虛擬機(jī)上正在運(yùn)行的東西。StillSecure說(shuō)，這項(xiàng)服務(wù)的費(fèi)用是保證10個(gè)虛擬機(jī)的安全每月250美元。對(duì)于ADS來(lái)說(shuō)是可以承受的。

位于休士頓的另一家云計(jì)算基礎(chǔ)設(shè)施提供商iland的首席技術(shù)官Justin Giardina說(shuō)，iland在自己的數(shù)據(jù)中心通過(guò)安全公司Alert Logic提供IDS/IPS監(jiān)視服務(wù)已經(jīng)有一年多時(shí)間了。

每個(gè)公司除了作為云計(jì)算客戶通常都可以得到的按虛擬局域網(wǎng)分段和受防火墻保護(hù)的基于VMware的虛擬機(jī)配置外，還可以選擇由安全公司Alert Logic從這家安全公司自己的網(wǎng)絡(luò)運(yùn)營(yíng)中心監(jiān)視這些虛擬機(jī)。

Alert Logic的監(jiān)視利用基于主機(jī)的軟件。這些軟件代表客戶在管理程序?qū)哟紊线\(yùn)行。Alert Logic IDS/IPS服務(wù)可以配置成自動(dòng)隔離一個(gè)網(wǎng)段。例如，如果檢測(cè)到問(wèn)題，這項(xiàng)服務(wù)便啟動(dòng)在思科ASA防火墻中的自動(dòng)響應(yīng)功能。

Giardina說(shuō)，不超過(guò)四分之一的iland用戶使用這個(gè)Alert Logic監(jiān)視服務(wù)。雖然Alert Logic負(fù)責(zé)每周7天每天24小時(shí)監(jiān)視虛擬機(jī)，并且與消費(fèi)者有直接的關(guān)系，但是，如果發(fā)生事故，iland也會(huì)參與。

Giardina說(shuō)，并非每一個(gè)人都理解使用補(bǔ)丁的重要性。他指出，黑客和惡意軟件可以造成服務(wù)器被攻破，Alert Logic也經(jīng)常通知iland對(duì)這些事件做出反應(yīng)。

Giardina說(shuō)，雖然除了Alert Logic提供的服務(wù)之外iland目前還沒有增加額外的第三方的安全服務(wù)的計(jì)劃，但是，iland正在尋求建立自己的殺毒掃描和保護(hù)的可能性。這種服務(wù)將以即將推出的新版本賽門鐵克軟件為基礎(chǔ)，利用基于VMware的VMsafe API實(shí)現(xiàn)管理程序級(jí)的監(jiān)視。

【編輯推薦】

1. RSA 2010 大會(huì)：向您推薦四大必知的參會(huì)技巧
2. RSA總裁：云計(jì)算是徹底轉(zhuǎn)變安全交付方式的機(jī)會(huì)
3. RSA 2010大會(huì)現(xiàn)場(chǎng)直擊：各廠商展臺(tái)別具一格