云计算已成为众多IT需求的可行模型。在某些情况下,大型企业会按需购买云式CPU周期,使用Amazon、Rackspace和Terremark等供应商提供的“基础设施即服务”(IaaS)进行测试、开发和批处理。其他情况下他们会外包整个应用,如把电子邮件交给Google,CRM交给Salesforce.com,或者把工资单交给ADP.
尽管它的确很有价值,但IT专家们仍然热衷于对云计算的价值进行一场哲学辩论。他们想知道为大众设计的云计算和SaaS是否真正是企业数据中心现场IT设备的可选方案。毕竟,内建式IT设备可提供线速性能并可进行调整以满足一个企业的特定需要。
最近,首席信息安全官们召开了类似的会议,讨论了信息安全需求,特别是与网络安全威胁管理相关的问题。安全专家们考虑了类似的问题:大型企业应该选择企业内部自建安全网关还是将网络安全威胁的管理交给云服务呢?本文件的结论是:
1.不管选择哪种解决方案,都要尽快解决网页威胁管理问题。虽然关于企业内部自建与云服务对比的理论思考还在继续,而另一方面网页威胁管理的复杂性也在不断增长。结果,ESG研究表明大型企业在网页威胁管理解决方案上的投资越来越多。
2.企业内部自建和云端部署都有其优势和劣势。网页威胁管理网关适用于大型集中式设施,而SaaS则适用于远程办公和经常外出的员工。遗憾的是,大型全球化企业在这些方面都有需求,因此不管是安全网关还是SaaS都无法单独满足其需求。首席信息安全官们想知道他们到底应该选择一个解决方案,还是实施多个供应商的多个解决方案。
3.大型全球化企业需要紧密集成的混合式解决方案。通常跨国企业都有大量集中的和分散的员工。这些企业需要一致的策略管理、实施和监督,让雇员不管从网络的哪个位置连接都有很强的安全性。实际上,这正是实施结合了企业内部自建设备控制与云的灵活性的统一混合式网络安全解决方案的最主要原因。采用混合式架构,大型全球化企业不但可以进行集中管理、分布式实施,还能够利用移动、远程和集中的员工云计算社区的“众包”优势。这种结合了两个领域最佳优势的架构将发展成为标准的企业部署。
网页威胁越来越危险
虽然病毒、蠕虫和木马的防御一直都是个难题,但许多首席信息安全官们认为现在的威胁管理更是一天比一天棘手。这是由于大型企业不但要面对传统的攻击载体,还要面对越来越危险的网页威胁。由于以下原因,这方面的情况会越来越糟糕:
1.空前的恶意代码量。根据最新的Blue Coat网站报告,网页威胁的数量仅与去年相比就增加了500%以上。此外,恶意代码变种的数量增加了300%以上,而钓鱼攻击增加了600%以上。
2.危险的网页内容。近半数恶意代码的威胁目标是网络浏览器,因为许多网页应用程序都很脆弱,很容易受到感染。用户还倾向于相信Google、Yahoo和Bing等高流量站点的网站,而这些网站都受到过攻击并被用于散播恶意代码。Web 2.0是由动态内容驱动的,这是一个新的又难以捉摸的入侵载体。最后,网页威胁可以特定企业或个人为目标,使检测和预防都极其困难。
3.社交网络载体。社交网络站点已经迅速成为犯罪的多发地。例如,Zeus僵尸网络在过去的几年里通过Facebook散播了超过150万的钓鱼信息。因此难怪有超过三分之二(77%)在企业机构(超过1000名员工)工作的安全专业人员认为,员工访问社交网络会提高受到复杂攻击的几率(见图1)
图 1.相信社交网络站点会提高受到APT攻击的几率
来源:Enterprise Strategy Group,2011 年
流动性增加。员工经常会使用笔记本、智能手机和平板电脑访问各种企业和消费者网页应用程序。虽然这种流动性可以促进生产率,但它也使管理设备配置、更新安全签名或监控可疑和/或异常行为更加困难。
大型企业都在对网页威胁管理进行投资
维基百科对“网络威胁”的定义如下:
“网页威胁是使用互联网促成网络犯罪的任何威胁。网页威胁中会使用各种恶意软件和欺诈手段,所有这些都使用HTTP或HTTPS协议,但也可能利用了其他协议和组件,如电子邮件或即时消息中的链接,或恶意软件的附件或在访问网络的服务器上。它们帮助网络罪犯们偷窃信息后出售,并将感染的计算机吸收到僵尸网络。
网页威胁会带来一系列风险,包括经济损失、身份被盗、丢失机密信息/数据、偷窃网络资源、损坏品牌/个人声誉,以及破坏消费者对电子商务和在线银行的信任。
鉴于网页威胁的普遍性、数量和增长,首席信息安全官们不断在特定网络安全防护方面投资。这在最近的ESG研究中有相关说明。近三分之一的企业说过他们将在2011年投资对网页安全给予投资(见图2)
图 2. 大型企业将投资网页安全
来源:Enterprise Strategy Group,2011年
哪种网页威胁管理模式是最好的?
首席信息安全官们在寻找网页威胁管理技术保障时,经常遇到大量令人难以决定的选择。在供应商夸张的宣传中,许多安全执行官还面临一个新的抉择:他们是应该购买并实施传统的网关安全解决方案呢,还是放弃企业内部自建解决方案而选择SaaS云服务?
网页威胁管理网关非常适合大型且集中的企业
网页威胁管理网关位于网络进出点,可过滤和阻止恶意网页内容,如钓鱼漏洞、病毒、蠕虫、木马和僵尸网络等。为了保持防护功能,安全供应商经常需要在出现新恶意软件威胁时定期更新网页威胁管理网关的规则和签名。
过去,大型企业通常会选择企业内部自建的网页威胁管理网关。这些传统的“壁垒服务器”有如下一些优点:
?高性能。网关应用以“线速”运行,延迟时间最短,对网络性能的影响最小。有企业级的IT、网络和安全技术的大型企业很容易就可以实施并调整网关安全设备,使其能够为上千需要网络的员工提供强大的安全防护而不会带来任何负面影响。
?可自定义的策略管理和实施。企业在监管、产业特定威胁和内部治理方面有各种各样的安全需求。为满足这些不同的需求,许多网关网页威胁管理设备都为策略管理和安全防范提供详细设置。这样,企业便可以根据特定用户、组、位置或一天中某段时间的特定需求来设置网页威胁管理网关,从而执行安全策略规则。
?中央命令和控制。因有多个机构或驻地而有多个网络进出点的大型企业可能需要多个网页威胁管理网关。为满足这种需求,先进的网页威胁管理网关可对多个设备进行集中的命令和控制。这样,首席信息安全官们可对多个网页威胁管理网关设备实施统一的策略,或根据特定需求设置某个设备。
?集成其他安全功能。在许多情况下,网页威胁管理还可在高性能安全网关上结合其他安全应用,如DLP、反病毒或URL过滤。这样大型企业就可以使用标准化的单一安全设备来降低成本、简化日常维护并集中进行维护和支持。集成的安全设备还可以通过关联事件和合并报告来提高整体安全性。
云技术网页威胁管理适合分布式企业
网页威胁管理网关最适合位于同一地点的数个机构的数千员工访问网络的大型集中企业。但在当今的全球商业环境下,许多企业具有高度分散的特质,经常有在分支办公室、远程甚至路上办公的移动员工。在过去几年里,越来越多的安全供应商采用了SaaS或云技术交付模式作为传统网关设备的补充。分布式企业可利用使用云技术交付模式的网页威胁管理,这种交付模式有以下优点:
1.部署和操作简单。SaaS是一种“总承包”式解决方案,无需购买、测试、部署或管理新设备。通过网页威胁管理服务,只需将所有网络进出流量路由到云端IP地址,然后所有网页威胁管理策略就在远程得到了执行。
2.有效且高效的防护。由于云供应商是为大众设计的这种解决方案,因此SaaS解决方案主要针对最常见的攻击类型提供充分的防护。就网页威胁管理来说,这意味着这种云端服务会阻止恶意URL和内容、钓鱼网站和已知的恶意软件分发服务器。可以认为云端网页威胁管理服务一种80/20法则的体现。它们可能不会提供企业内部自建网关那样的自定义设置或安全集成,但它们能够对常见网页威胁提供有效且高效的防护。
支持远程办公室和移动工作者。根据最近的研究,ESG认为在远程和分部工作的员工比集中工作的员工有更大的安全隐患,特别是在计算机配置管理、终端用户培训和监测远程员工对敏感数据的使用方面3.这些有数十员工的远程办公室需要网页威胁管理,但由于在每个远程机构都部署网关设备在经济上或技术上是不可行的,于是云端服务这时便特别有吸引力。移动的工作者很少会在“防火墙后面”。因此,网关应用是无法在这方面提供任何防护的,而SaaS就成了理想的选择。
3.由于“网络效应”和“众包”的作用,云端安全服务还有一种潜在的安全优势。在这种模式下,所有云客户都是一名情报员,当他们发现了新攻击方式(如之前未发现的恶意代码或受到攻击的网址)时就会向云端报告。确定新的攻击后,云端安全社区中的所有其他人都能够受到保护。
图 3. 满足远程办公室/分支机构需求时面临的安全问题
来源:Enterprise Strategy Group,2011 年
大型全球性企业需要混合式安全架构
部分企业倾向于根据单一决策点-企业是集中化企业还是分布式企业-来选择应用企业内部自建的网页威胁管理网关还是SaaS解决方案。但是许多全球性企业有分散的集中式驻地和许多远程办公室和移动工作者。那么他们应该选择企业内部自建设备还是云端服务,还两种解决方案都选呢?
很明显的是,大型全球性企业需要能够为所有员工和IT资产提供防护的网页威胁管理解决方案,不管他们位于数据中心还是远程办公室,还是通过公共网络访问应用程序。遗憾的是,这意味着要实施多家供应商的多个解决方案,为企业网络建立企业内部解决方案,同时为远程办公室和移动员工提供云端服务。是的,多个解决方案确实可以提供覆盖范围和防护,但这也会导致高成本和冗余的操作。
因此这里需要的应该是一种混合式架构,要结合现场设备的性能和管理优势,还要结合云端服务的灵活性和覆盖范围(见图4)。
图 4. 混合式安全架构
来源:Enterprise Strategy Group,2011 年
为满足大型全球性企业的需求混合式网页威胁管理架构必须包含:
1.集中化的管理和分布式的实施。混合式网页威胁管理架构可提供一致的策略管理和安全防范,而不论这些活动发生于企业设备内还是在云端。设备和云端服务可通过统一的图形用户界面进行管理,而报表则可定制为提供整个企业的视图(如企业内部自建设备和云端服务的综合视图),或为各个分支地点提供统一的视图。
2.以云端为中心的智能。威胁智能以云技术为坚实的基础,而用户和企业内部自建设备则通过如上文所述的众包作用贡献力量。可通过对企业内部自建设备的实时更新立即解决新威胁。
3.紧密集成。企业内部自建和云端管理和实施可根据情况灵活应用。此外,混合式威胁管理架构还能够根据未来的各种需求随时扩展。例如,可通过DLP功能加强网页威胁管理,防范网络进入点的恶意代码攻击和网络出口的数据泄漏。
混合式网页威胁管理具有灵活而即时的安全优势
ESG认为混合式架构可同时提供短期和长期的优势,而且几乎立即见效。混合式网络安全架构可提供这些优势的原因是:
1.改善了远程工作者的安全性。根据ESG研究,远程办公室的IT支持面临诸多安全问题,包括网页威胁管理(见图3)。而且移动工作者同样有这些安全问题。混合式网页威胁管理架构可提供简洁而有效的解决方案,因为它减少了部署新设备或一次性SaaS安全服务的需求。而且,首席信息安全官们可利用集中的IT安全技术和一流的网络安全工具来实现地毯式覆盖,无论员工的地理或网络位置在哪。结果?即时的安全改善,直接解决了ESG研究报告中发现的一些问题。
2.提供全局可见性和控制能力以迅速发现并解决问题。由于现在APT等网络攻击已经非常成熟,一个设备受到攻击就会造成严重的数据泄露。要解决这个风险就要对所有设备和活动进行监控。由于混合式网页威胁管理架构能够提供集中的命令与控制、策略管理和报告,首席信息安全官们可以了解并监督所有设备以及在整个网络中的安全防范活动。这种可见性和控制能力可加快问题发现和解决的速度。
创建一个云迁移路径。混合式网页威胁管理架构结合了企业内部自建设备和云的优势。这可以提供全面的覆盖范围。但有些企业可能希望慢慢地将网络和其他威胁管理工作都交给云端,特别是在云安全服务成熟之后。混合式网页威胁管理架构提供了灵活的安全迁移路径。首席信息安全官们可以方便地调整网络设置、将网络设备更换为云服务,并在云经济和安全技术成熟时利用这方面的优势。
更重要的事实
云计算和SaaS通常表现为一对与传统IT解决方案对立的选项-或者你自己做,或者你完全放手不管。这是一种令人遗憾的想法,完全忽视了“混合云”的整体概念。虽然现在极少有公司将应用程序的工作交给云服务,但将来这会成为容量规划、业务连持续性和灾难恢复的标准方法。
同样的观念也应该应用到更精细的IT要求上,如网页威胁管理。企业内部自建的和云解决方案都有许多优势,但任何一种都不会提供完全的覆盖。聪明的首席信息安全官不会只从这两种方案中选择一种,而是寻找能够同时提供两者优势的混合式解决方案。最佳的混合方式应该是结合集中化管理和分布式实施的紧密集成的架构。这就是Blue Coat结合ProxySG/WebFilter设备和网络安全云安全提供的网页威胁管理架构-都由WebPulse Collaborative Defense提供支持。
注释:作者Jon Oltsik为高级首席分析师。