安全：在本地还是云端？_云安全

本地安全体系之地位不可动摇

拥有CISSP、CISM、CISA等多项认证资格，Dell Sonicwall网络公司产品营销经理Daniel Ayoub如是说，尽管某些安全解决方案——例如邮件安全——可能在云环境下更具前景，但网络安全的重任始终要由本地方案来承担。

没错，很多工作内容在进入云环境后都会变得更易于管理，但安全性显然是个例外。

以下一代防火墙及下一代IPS为代表的网络安全设备仍然坚守着自己的本地特性，这是因为企业需要严格控制所有出入其网络的数据流。延迟以及与云供应商之间传递机密数据所引发的风险是大多数管理者所难以容忍的。

此外，大多数现代化本地解决方案都能通过自动更新获得最新防护手段，并借此为云环境提供第二层攻击抵御机制。举例来说，某些工具能利用云数据库中的数百万签名识别并将恶意软件拒之门外。然而此类服务大多属于可选方案，所以完全不允许机密数据流出内部网络的企业可以通过禁用直接将该功能关闭。在这种情况下，本地解决方案无疑是众多保护机制中的最佳选择。

没错，很多工作内容在进入云环境之后都会变得更易于管理，但安全性显然是个例外。大多数企业用户都希望把机密数据严格控制在系统内部、而很不情愿让此类信息与云服务供应商进行流通（除非经过严格加密），这是管理者自我保护的天性，当然无可厚非。分布式拒绝服务攻击的防护等功能会在与云牵手之后带来更好的效果，但我要再次强调，ISP层仍然是这些机制的最佳工作环境。

不同的机构在风险承受能力方面也不尽相同，因此在本地还是云端的选择方面，每位IT管理者也一定有着自己的打算。举例来说，像国防部这样与风险坚决对立的组织必须将所有数据严格控制在内部系统当中，因此本地解决方案较为适合。但对于那些敏感信息相对较少的机构而言，云基础解决方案也许更具吸引力。

在多数情况下，风险承受能力较强的公司（例如小型企业）往往成为云服务供应商宝贵的利基市场，并扮演着云技术调整的前沿阵地与培养温室。但重要的是我们还应该注意到，本地解决方案（例如集成化统一威胁管理设备）的总体持有成本往往比云环境更高。虽然直接比较之下，云方案的短期支出数额更具吸引力，但在四到五年的中长期合约之中，按月按需计费的云产品在支出方面同样相当不菲。从长远角度来看，本地解决方案比云方案更便宜。

以云为基础的安全体系至关重要

CloudPassage公司产品部门副总裁Rand Wacker如是说。云服务的普及速度令人震惊，在其帮助之下，企业用户能够将原先依赖于软件的一切项目转移到基础设施即服务产品当中，进而改善业务灵活性、压缩资金成本同时简化操作。云计算资源离不开动态特性，因此要想让保护机制具有与受保护对象同级别的可扩展性及可移植性，我们必须要选择同样动态化的安全方案。换言之，新环境需要以云为基础的安全体系，与传统的静态部署相比，云环境中的安全服务在扩展性及反应速度上都要更胜一筹……

不同于传统的本地安全系统，云环境中的安全服务在扩展性及反应速度上都胜过静态方案。其按需计费的原则也比本地方案更为经济，免去了构建额外容量以适应未来发展的巨大弊端。最重要的是，只有云环境中的安全服务才能够迎合管理者对动态及高度自动化执行模式的要求，这一特性也已经吸引了众多企业关注的目光。

让我们来看具体的例子：基础设施资源的自助式供应。开发人员能够在短短数分钟内创建起虚拟云服务器，这种便捷性大大缩短了软件的交付时间。如果依照过去的做法，开发人员需要在推出成品之后慢慢等待IT部门为其完善配套的访问控制、完整性监控及入侵检测等一系列辅助项目，这将直接导致自助式特性的优势丧失殆尽。另一方面，开发人员出于种种考虑往往需要绕过现有流程，这将使IT与安全团队在新项目面前感到无从下手。

当一台新的服务器在本地数据中心内部正式上线时，我们还需要一步步执行安全策略。但在上面所提到的自助式服务器部署当中，安全任务能以自动化的形式成为整体交付流程中的一部分。防火墙及访问控制政策必须进行升级，新创建的服务器镜像必须符合安全政策，所有软件包也需要立即更新——这类简单重复劳动就应该交给自动化程序打理。

此外，由于云服务器直接与互联网相连通（这与被封闭在私有数据中心内的服务器完全不同），因此管理者需要不断监测其漏洞、未经授权的恶意活动或者其它异常系统变化。

除非我们能以自动化的管理及交付方式保护这类高度动态化的云系统，否则开发人员将被浩如烟海的控制工作所淹没、最终陷入身心俱疲的被动状态。

全新安全服务的普及总要晚于全新IT系统的部署，这是因为技术团队需要花时间来理解、处理并验证新系统所带来的安全挑战。虽然在新兴市场中，用户往往能够接受在缺乏配套安全功能的情况下提前使用新技术，但云计算的情况则有所不同。鉴于其掌控的信息可能极为重要，我们不得不在解决了安全问题之后才能放心将云技术大规模引入业务环境。

在云计算领域，运营理念及风险管理将扭转“我们需要控制一切”的陈旧思路，转而迈向买家与服务供应商分担责任的新方向。安全设计正在发展，技术堆栈中的不同部分必然将由不同体系进行管理；如今遍布私有数据中心内部的终端到终端合规性水平方案也将被新的分层管理框架所取代。

基于同样的原因，由云环境交付的应用程序及基础设施也优于传统的本地交付——这类安全产品成本更低、操作更方便、灵活性也更强。为了保护企业IT部门所部署的混合型基础设施组合，选择基于云的安全服务可谓势在必行——它能够为保护措施带来更多自动化特性、引入新的操作模式、并最终显著提高企业的发展步伐。