擁有CISSP、CISM、CISA等多項(xiàng)認(rèn)證資格，Dell Sonicwall網(wǎng)絡(luò)公司產(chǎn)品營(yíng)銷(xiāo)經(jīng)理Daniel Ayoub如是說(shuō)，盡管某些安全解決方案——例如郵件安全——可能在云環(huán)境下更具前景，但網(wǎng)絡(luò)安全的重任始終要由本地方案來(lái)承擔(dān)。

沒(méi)錯(cuò)，很多工作內(nèi)容在進(jìn)入云環(huán)境后都會(huì)變得更易于管理，但安全性顯然是個(gè)例外。

以下一代防火墻及下一代IPS為代表的網(wǎng)絡(luò)安全設(shè)備仍然堅(jiān)守著自己的本地特性，這是因?yàn)槠髽I(yè)需要嚴(yán)格控制所有出入其網(wǎng)絡(luò)的數(shù)據(jù)流。延遲以及與云供應(yīng)商之間傳遞機(jī)密數(shù)據(jù)所引發(fā)的風(fēng)險(xiǎn)是大多數(shù)管理者所難以容忍的。

此外，大多數(shù)現(xiàn)代化本地解決方案都能通過(guò)自動(dòng)更新獲得最新防護(hù)手段，并借此為云環(huán)境提供第二層攻擊抵御機(jī)制。舉例來(lái)說(shuō)，某些工具能利用云數(shù)據(jù)庫(kù)中的數(shù)百萬(wàn)簽名識(shí)別并將惡意軟件拒之門(mén)外。然而此類(lèi)服務(wù)大多屬于可選方案，所以完全不允許機(jī)密數(shù)據(jù)流出內(nèi)部網(wǎng)絡(luò)的企業(yè)可以通過(guò)禁用直接將該功能關(guān)閉。在這種情況下，本地解決方案無(wú)疑是眾多保護(hù)機(jī)制中的最佳選擇。

沒(méi)錯(cuò)，很多工作內(nèi)容在進(jìn)入云環(huán)境之后都會(huì)變得更易于管理，但安全性顯然是個(gè)例外。大多數(shù)企業(yè)用戶(hù)都希望把機(jī)密數(shù)據(jù)嚴(yán)格控制在系統(tǒng)內(nèi)部、而很不情愿讓此類(lèi)信息與云服務(wù)供應(yīng)商進(jìn)行流通（除非經(jīng)過(guò)嚴(yán)格加密），這是管理者自我保護(hù)的天性，當(dāng)然無(wú)可厚非。分布式拒絕服務(wù)攻擊的防護(hù)等功能會(huì)在與云牽手之后帶來(lái)更好的效果，但我要再次強(qiáng)調(diào)，ISP層仍然是這些機(jī)制的最佳工作環(huán)境。

不同的機(jī)構(gòu)在風(fēng)險(xiǎn)承受能力方面也不盡相同，因此在本地還是云端的選擇方面，每位IT管理者也一定有著自己的打算。舉例來(lái)說(shuō)，像國(guó)防部這樣與風(fēng)險(xiǎn)堅(jiān)決對(duì)立的組織必須將所有數(shù)據(jù)嚴(yán)格控制在內(nèi)部系統(tǒng)當(dāng)中，因此本地解決方案較為適合。但對(duì)于那些敏感信息相對(duì)較少的機(jī)構(gòu)而言，云基礎(chǔ)解決方案也許更具吸引力。

在多數(shù)情況下，風(fēng)險(xiǎn)承受能力較強(qiáng)的公司（例如小型企業(yè)）往往成為云服務(wù)供應(yīng)商寶貴的利基市場(chǎng)，并扮演著云技術(shù)調(diào)整的前沿陣地與培養(yǎng)溫室。但重要的是我們還應(yīng)該注意到，本地解決方案（例如集成化統(tǒng)一威脅管理設(shè)備）的總體持有成本往往比云環(huán)境更高。雖然直接比較之下，云方案的短期支出數(shù)額更具吸引力，但在四到五年的中長(zhǎng)期合約之中，按月按需計(jì)費(fèi)的云產(chǎn)品在支出方面同樣相當(dāng)不菲。從長(zhǎng)遠(yuǎn)角度來(lái)看，本地解決方案比云方案更便宜。

目前，Dell Sonicwall網(wǎng)絡(luò)公司已經(jīng)充分利用云計(jì)算技術(shù)實(shí)現(xiàn)全方位保護(hù)，但我們的核心業(yè)務(wù)仍然堅(jiān)定不移地立足于本地解決方案。說(shuō)起與云環(huán)境攜手的常見(jiàn)技術(shù)，郵件安全、托管服務(wù)以及網(wǎng)關(guān)防病毒工作無(wú)疑是大家最熟悉的內(nèi)容。我們必須認(rèn)識(shí)到，全局?jǐn)?shù)據(jù)收集與更新管理系統(tǒng)也可以被視為“云”技術(shù)的一種或者延伸，這一點(diǎn)非常重要。

下面我們一起看看哪些機(jī)構(gòu)可能需要保留本地安全部署方案：

軍事機(jī)構(gòu)很可能需要時(shí)刻保證本地網(wǎng)絡(luò)不與外界存在任何形式的連通，因?yàn)樗麄兘^不容許涉及國(guó)家機(jī)密等極度敏感的數(shù)據(jù)被云基礎(chǔ)方案截獲或者更改。

與之類(lèi)似，以銀行及信用卡代理中心為代表的金融服務(wù)類(lèi)用戶(hù)同樣需要時(shí)刻保證本地網(wǎng)絡(luò)不與外界存在任何形式的連通，因?yàn)樗麄兘^不容許涉及財(cái)務(wù)記錄、賬目及資金轉(zhuǎn)移等極度敏感的數(shù)據(jù)被云基礎(chǔ)方案截獲或者更改。

云基礎(chǔ)類(lèi)安全方案確實(shí)能帶來(lái)諸多便利，將網(wǎng)絡(luò)安全交由云環(huán)境處理能為企業(yè)節(jié)省大量財(cái)力與人力。與傳統(tǒng)中以本地系統(tǒng)為基礎(chǔ)的各類(lèi)工具、帶寬、IT團(tuán)隊(duì)以及數(shù)據(jù)安全基礎(chǔ)設(shè)施部署等一系列燒錢(qián)項(xiàng)目相比，云方案前期部署的成本優(yōu)勢(shì)極為明顯。這就意味著企業(yè)能夠花小錢(qián)辦大事，并在未來(lái)的發(fā)展過(guò)程中隨時(shí)根據(jù)自身需要調(diào)整云環(huán)境規(guī)模。另外，過(guò)去我們需要在內(nèi)部系統(tǒng)中自己部署防火墻、同時(shí)投入大量成本建設(shè)數(shù)據(jù)中心及其冗余附件；但在云服務(wù)領(lǐng)域，安全保護(hù)及故障轉(zhuǎn)移等功能通常由供應(yīng)商負(fù)責(zé)，這在無(wú)形中又省下了一大筆錢(qián)。

不過(guò)從另一個(gè)角度來(lái)看，本地安全設(shè)備所帶來(lái)的安全性與控制優(yōu)勢(shì)絕不是云環(huán)境所能比擬的。本地解決方案為企業(yè)提供了強(qiáng)大的全局?jǐn)?shù)據(jù)控制能力，一切盡在IT團(tuán)隊(duì)的管理與掌握之中。本地解決方案在威脅保護(hù)方面的表現(xiàn)也優(yōu)于云部署類(lèi)方案。

正確的解決方案必須具備可擴(kuò)展性，這樣即使企業(yè)規(guī)模快速增長(zhǎng)、我們?nèi)匀豢梢酝ㄟ^(guò)升級(jí)等方式實(shí)現(xiàn)工具與業(yè)務(wù)的齊頭并進(jìn)，并最終將業(yè)務(wù)中斷的可能性降到最低。本地網(wǎng)絡(luò)安全系統(tǒng)所提供的豐富功能使技術(shù)人員得以針對(duì)特定行業(yè)拿出高度集成化且功能吻合緊密的定制方案——快速實(shí)現(xiàn)網(wǎng)絡(luò)取證就是其中的代表。綜合以上討論的內(nèi)容，我們可以看到本地網(wǎng)絡(luò)安全方案的長(zhǎng)期成本并不高，這一點(diǎn)在大型企業(yè)領(lǐng)域表現(xiàn)得尤為明顯。#p#

以云為基礎(chǔ)的安全體系至關(guān)重要

CloudPassage公司產(chǎn)品部門(mén)副總裁Rand Wacker如是說(shuō)。云服務(wù)的普及速度令人震驚，在其幫助之下，企業(yè)用戶(hù)能夠?qū)⒃纫蕾?lài)于軟件的一切項(xiàng)目轉(zhuǎn)移到基礎(chǔ)設(shè)施即服務(wù)產(chǎn)品當(dāng)中，進(jìn)而改善業(yè)務(wù)靈活性、壓縮資金成本同時(shí)簡(jiǎn)化操作。云計(jì)算資源離不開(kāi)動(dòng)態(tài)特性，因此要想讓保護(hù)機(jī)制具有與受保護(hù)對(duì)象同級(jí)別的可擴(kuò)展性及可移植性，我們必須要選擇同樣動(dòng)態(tài)化的安全方案。換言之，新環(huán)境需要以云為基礎(chǔ)的安全體系，

與傳統(tǒng)的靜態(tài)部署相比，云環(huán)境中的安全服務(wù)在擴(kuò)展性及反應(yīng)速度上都要更勝一籌……

不同于傳統(tǒng)的本地安全系統(tǒng)，云環(huán)境中的安全服務(wù)在擴(kuò)展性及反應(yīng)速度上都勝過(guò)靜態(tài)方案。其按需計(jì)費(fèi)的原則也比本地方案更為經(jīng)濟(jì)，免去了構(gòu)建額外容量以適應(yīng)未來(lái)發(fā)展的巨大弊端。最重要的是，只有云環(huán)境中的安全服務(wù)才能夠迎合管理者對(duì)動(dòng)態(tài)及高度自動(dòng)化執(zhí)行模式的要求，這一特性也已經(jīng)吸引了眾多企業(yè)關(guān)注的目光。

讓我們來(lái)看具體的例子：基礎(chǔ)設(shè)施資源的自助式供應(yīng)。開(kāi)發(fā)人員能夠在短短數(shù)分鐘內(nèi)創(chuàng)建起虛擬云服務(wù)器，這種便捷性大大縮短了軟件的交付時(shí)間。如果依照過(guò)去的做法，開(kāi)發(fā)人員需要在推出成品之后慢慢等待IT部門(mén)為其完善配套的訪問(wèn)控制、完整性監(jiān)控及入侵檢測(cè)等一系列輔助項(xiàng)目，這將直接導(dǎo)致自助式特性的優(yōu)勢(shì)喪失殆盡。另一方面，開(kāi)發(fā)人員出于種種考慮往往需要繞過(guò)現(xiàn)有流程，這將使IT與安全團(tuán)隊(duì)在新項(xiàng)目面前感到無(wú)從下手。

當(dāng)一臺(tái)新的服務(wù)器在本地?cái)?shù)據(jù)中心內(nèi)部正式上線時(shí)，我們還需要一步步執(zhí)行安全策略。但在上面所提到的自助式服務(wù)器部署當(dāng)中，安全任務(wù)能以自動(dòng)化的形式成為整體交付流程中的一部分。防火墻及訪問(wèn)控制政策必須進(jìn)行升級(jí)，新創(chuàng)建的服務(wù)器鏡像必須符合安全政策，所有軟件包也需要立即更新——這類(lèi)簡(jiǎn)單重復(fù)勞動(dòng)就應(yīng)該交給自動(dòng)化程序打理。

此外，由于云服務(wù)器直接與互聯(lián)網(wǎng)相連通（這與被封閉在私有數(shù)據(jù)中心內(nèi)的服務(wù)器完全不同），因此管理者需要不斷監(jiān)測(cè)其漏洞、未經(jīng)授權(quán)的惡意活動(dòng)或者其它異常系統(tǒng)變化。

除非我們能以自動(dòng)化的管理及交付方式保護(hù)這類(lèi)高度動(dòng)態(tài)化的云系統(tǒng)，否則開(kāi)發(fā)人員將被浩如煙海的控制工作所淹沒(méi)、最終陷入身心俱疲的被動(dòng)狀態(tài)。

全新安全服務(wù)的普及總要晚于全新IT系統(tǒng)的部署，這是因?yàn)榧夹g(shù)團(tuán)隊(duì)需要花時(shí)間來(lái)理解、處理并驗(yàn)證新系統(tǒng)所帶來(lái)的安全挑戰(zhàn)。雖然在新興市場(chǎng)中，用戶(hù)往往能夠接受在缺乏配套安全功能的情況下提前使用新技術(shù)，但云計(jì)算的情況則有所不同。鑒于其掌控的信息可能極為重要，我們不得不在解決了安全問(wèn)題之后才能放心將云技術(shù)大規(guī)模引入業(yè)務(wù)環(huán)境。

在云計(jì)算領(lǐng)域，運(yùn)營(yíng)理念及風(fēng)險(xiǎn)管理將扭轉(zhuǎn)“我們需要控制一切”的陳舊思路，轉(zhuǎn)而邁向買(mǎi)家與服務(wù)供應(yīng)商分擔(dān)責(zé)任的新方向。安全設(shè)計(jì)正在發(fā)展，技術(shù)堆棧中的不同部分必然將由不同體系進(jìn)行管理；如今遍布私有數(shù)據(jù)中心內(nèi)部的終端到終端合規(guī)性水平方案也將被新的分層管理框架所取代。

基于同樣的原因，由云環(huán)境交付的應(yīng)用程序及基礎(chǔ)設(shè)施也優(yōu)于傳統(tǒng)的本地交付——這類(lèi)安全產(chǎn)品成本更低、操作更方便、靈活性也更強(qiáng)。為了保護(hù)企業(yè)IT部門(mén)所部署的混合型基礎(chǔ)設(shè)施組合，選擇基于云的安全服務(wù)可謂勢(shì)在必行——它能夠?yàn)楸Ｗo(hù)措施帶來(lái)更多自動(dòng)化特性、引入新的操作模式、并最終顯著提高企業(yè)的發(fā)展步伐。