云安全訪問代理工具為云用戶提供了一個額外的保護(hù)層，但是IT部門必須仔細(xì)選擇合適的工具，以避免拖累云性能表現(xiàn)。

　　安全性仍然是企業(yè)IT部門所面臨的一道難題。一方面要確保應(yīng)用的可用性，一方面還要保護(hù)企業(yè)的重要業(yè)務(wù)數(shù)據(jù)，這本身就是一個需要雙手彈好鋼琴的難事，更不用說現(xiàn)在有越來越多的企業(yè)開始使用公共云服務(wù)了。

　　一個能夠解決這一難題的新興工具就是云安全接入代理。通過使用這一類工具，IT團(tuán)隊(duì)可以實(shí)施眾多的安全措施。但是，這些工具并不都是一樣的，所以企業(yè)應(yīng)認(rèn)真考慮潛在問題和評估每一個產(chǎn)品，這一點(diǎn)是非常重要的。

　　以下有四點(diǎn)建議，可以幫助您更高效地選擇和部署云安全接入代理工具。

[[167904]]

　　定義好你的目標(biāo)

　　企業(yè)工具反反復(fù)復(fù)遇到的問題之一就是企業(yè)缺乏一個針對工具部署的明確目標(biāo)。云安全接入代理工具并不能夠包辦一切，所以使用者首先應(yīng)當(dāng)對“你為什么要部署這個工具”有一個清醒而全面的認(rèn)識。

　　云安全代理——例如Palerra、Elastica、Skyhigh Networks 以及Netskope等企業(yè)推出的同類工具，通常都會在企業(yè)用戶和云服務(wù)供應(yīng)商(例如亞馬遜網(wǎng)絡(luò)服務(wù)，AWS和谷歌云平臺)之間實(shí)施一組獨(dú)立的安全策略。但有時，其目標(biāo)可能是希望發(fā)現(xiàn)和限制某些影子IT的活動，或者找出某些薄弱或?qū)捤傻陌踩呗?。在其他情況下，云安全接入代理可能更多的是發(fā)揮監(jiān)控和管理的作用，從而讓企業(yè)業(yè)務(wù)部門了解到是如何使用云服務(wù)的——這是云預(yù)算的一個優(yōu)勢。

　　查看功能集

　　云安全訪問代理工具提供了一系列的功能。它們可以讓管理人員更深入地了解云服務(wù)的使用情況;使用預(yù)打包模板、定制策略和機(jī)器學(xué)習(xí)來監(jiān)控用戶操作和發(fā)現(xiàn)危險活動;為管理人員生成日志文件、發(fā)送警報和創(chuàng)建詳細(xì)報告;甚至采取一些補(bǔ)救措施來執(zhí)行既定的安全策略。一個云安全接入代理工具還可以與現(xiàn)有IT平臺(例如 Lightweight Directory Access Protocol)、身份與訪問管理工具、票務(wù)與服務(wù)支持系統(tǒng)、單點(diǎn)登錄以及其他安全工具進(jìn)行集成。

　　全面審核云安全接入代理工具的功能集，以確保這個工具是否符合你的需求——或者確定需要額外安全投資的功能空白區(qū)。云安全接入代理的角色還是比較新的，所以仔細(xì)測試和評估這類工具是至關(guān)重要的。

　　評估范圍

　　企業(yè)用戶可以定制云安全訪問代理工具以匹配特定云服務(wù)或平臺。這些特定服務(wù)的工具是可以可靠工作的，但是它只能是針對預(yù)期的服務(wù)。例如，如果企業(yè)開發(fā)了在 AWS平臺上運(yùn)行的云軟件，那么它可能需要為AWS和其他云軟件資源庫(例如GitHub)分別準(zhǔn)備一個工具。另外，如果企業(yè)更換了云平臺，那么它就可能需要另行投資購買另一個云安全接入代理工具了。如有必要，請務(wù)必確保做好購買多個工具的預(yù)算。

　　本地托管云安全訪問代理工具是需要及時更新的，但在某些情況下，更新有可能是破壞性的。在內(nèi)部部署云安全接入代理工具的企業(yè)將需要把平臺與現(xiàn)有補(bǔ)丁和變更管理工具整合起來。

　　當(dāng)云安全代理是作為一個第三方服務(wù)時，用戶同樣會遭遇到服務(wù)停用或中斷事件，此類事件發(fā)生的概率與其他任何軟件即服務(wù)產(chǎn)品都是一樣的。供應(yīng)商必須提供一份合適的服務(wù)水平協(xié)議(SLA)，以滿足企業(yè)用戶對于安全性和合規(guī)性兩方面的要求。

　　評估運(yùn)行模式

　　企業(yè)用戶可以在多個位置部署云安全訪問代理工具。每個位置都可以提供獨(dú)特的優(yōu)勢和功能，所以了解工具能夠在哪些位置實(shí)現(xiàn)更高效地運(yùn)行是非常重要的。

　　在本地部署云安全訪問代理也是通常的首選模式，這樣做可以讓這個工具監(jiān)控所有的網(wǎng)絡(luò)流量，分別在組、設(shè)備或地理級別實(shí)現(xiàn)對身份與訪問控制的管理，以及使用本地加密措施來防止未經(jīng)授權(quán)的訪問請求。但是，工具的本地部署模式會要求IT團(tuán)隊(duì)能夠管理和支持另一個系統(tǒng)。

　　基于云的安全代理工具是易于使用的，但是建立加密控制可能會影響云應(yīng)用處理數(shù)據(jù)的能力。例如，如果云安全訪問代理工具對財務(wù)數(shù)據(jù)進(jìn)行了加密處理，一旦財務(wù)云應(yīng)用試圖使用該加密數(shù)據(jù)，就可能因?yàn)闊o法對數(shù)據(jù)進(jìn)行解密而無法處理。與任何其他的云應(yīng)用一樣，這些產(chǎn)品也會遇到相同的可用性問題，所以，如果這個工具變得不可用，那么它所保護(hù)的云應(yīng)用可能也會因此變得不可用。