术业有专攻——云计算时代下的安全反思

2015-02-02 10:01:43   点击:
  最近跟IT安全业界的人交流,很多人谈到对于安全的反思。企业部署安全产品归根结底是为了实现安全产品的功能,达成保护企业IT环境安全的

  最近跟IT安全业界的人交流,很多人谈到对于安全的反思。企业部署安全产品归根结底是为了实现安全产品的功能,达成保护企业IT环境安全的目的。而在PC时代和互联网时代,用户被各种各样的安全设备包围,防火墙、数据防泄漏方案、杀毒软件、安全网关….


  然而,尽管部署了这么多的安全设备,但是今天我们仍然看到非常多的安全事件:索尼PSN被黑、RSA认证技术数据被盗、花旗银行用户数据泄露….(相关专题:2011上半年黑客攻击大事记)而更为可怕的是这些被披露的安全事件仅仅是冰山一角,还有大量安全事故并未见报。


  企业面临的安全难题


  绿盟科技总裁吴云坤在今年11月初的云安全联盟的高峰论坛上介绍了目前安全运维的一些现状,对于了解目前企业面临的安全问题非常具有启发性。他提出了以下三个关键词:


  发挥效用:企业(用户)部署了不少安全设备,但这些安全设备在企业的运营环境中发挥效用的有多少,能发挥多大效用?实际上,企业常常面临这样的问题,就是他们部署了很多安全产品或者技术,但是一段时间之后就不用了。因为他们要保护的信息太多,而这些安全产品和技术又会发出这样或那样的安全警告,而这些警告又没有办法与实际的安全风险建立起相关性,久而久之便被忽略了。因此这些安全产品或技术并没有将它们的能力发挥出来。


  7*24小时:企业的主营业务不是安全,不会配备大量的专业安全人员负责企业安全运维。然而安全问题是无时无刻都会发生的,企业如何能保证7*24小时的安全防备?


  业务安全专家:当前企业的安全运维工作呈现一种金字塔的特点(如下图)。金字塔底层主要包括管理身份认证,打补丁,漏洞扫描和评估,安全配置核查,并对安全事件进行响应,然而因为技能、工具和资源不足,企业忙于各种应急处理,甚至需要应付客户的抱怨。处于金字塔中间层的包括进行防火墙/IDS策略检查和调优,安全状态评估,安全与项目管理,配置变更管理流程集成。金字塔顶层与业务密切相关,更多的是确保安全策略与业务应和,进行运维方面的管理。金字塔底层的工作量最大,但最有价值的往往是金字塔顶层的工作。然而,目前企业大部分精力花在金字塔底层,用于基础的运营工作,忙于打补丁,修复漏洞,应对安全事件,却没有精力规划安全与业务的应和策略。


  企业IT运维的金字塔模式


  另外,移动化、云计算这些技术趋势也使我们的系统越来越复杂,业务越来越复杂,业务的创新也直接影响着作为业务支持的IT的发展,因此面对的安全问题也越来越多。


  最早的时候,企业用户购买安全设备就能产生效果,但后来我们发现很多效果已经不是那么明显了。


  回归安全的本质——云计算时代下的安全


  回归本质,我们发现企业需要的只是安全本身,不是设备,不是服务或者其他;我们还发现企业IT部门主要职能是为企业的业务提供技术支持和安全保障,因此安全人员需要既懂安全也懂企业业务。


  那么,为什么不把安全外包呢?把很多安全的复杂性工作交给外包商去解决,而企业的IT安全管理人更多地去理解业务,根据业务制定安全管理策略。术业有专攻,专业的安全团队能够更加快捷高效地解决安全问题。


  云计算的出现恰恰为这种安全的外包提供了有力的支持。由创新工场投资的安全宝项目便是利用云计算技术来为(个人或企业)网站提供安全服务,用户一旦选用这一安全服务,便能零部署和零维护地实现自己的安全需求,这样的格局能够很好地解决企业以上的困惑。(相关报道:安全宝:订阅即可实现网站防护的云安全服务)


  企业可以把一些专业性的安全问题交由专门的安全公司来做,如交由专业公司来对安全设备进行实时监控,发现与告警异常安全事件;监控与分析安全设备日志,生成告警与定期分析报道;远程或本地进行安全事件处理等。专业安全公司将帮助企业管理好安全,发现并处置网络安全异常。这样将极大地降低设备采购和运维维护成本,提高安全运营效果,提高利用率,并且专业的安全专家团队能够实现7*24小时的远程值守服务,提升整体安全保障能力。


  而企业则做一些更为重要的工作,就是关注企业的核心业务领域,把精力从底层的运营工作中转移到金字塔顶层的运维及管理策略的制定上面。


  云计算出现对于我们的意义,不仅仅是一种技术上的创新,更是一种IT模式的改变,这种改变将为整个IT行业带来发展动力和更大的价值。现在,这种全新的IT模式正在逐渐从概念演进为实践。