网络安全 频道

云计算是否为企业安全最终出路?

    云计算安全不是出路

    Counterpane Internet Security公司的首席技术官Bruce Schneier认为,没有什么替代得了内部部署安全。

    安全的其中一个基本理念就是深层防御(defence in-depth):多个相互重叠的安全系统旨在提供安全,即便其中一个系统出了故障。一个例子就是防火墙结合入侵检测系统(IDS)。深层防御之所以能提供安全,就是由于没有单一故障点,也没有假定的单一攻击途径。

    正是由于这个原因,到底是选择在网络中间(云环境里面)部署网络安全,还是在端点部署网络安全,这种选择就显得没有必要。没有哪个安全系统是万灵药,双管齐下的效果要好得多。

    这种分层安全正是我们看到在日趋发展及完善的。传统上,安全部署在端点处,原因是这是用户所能控制的。一家公司除了在自己的网络里面部署防火墙、IDS及反病毒软件外,别无选择。随着托管安全服务及其他外包网络服务的兴起,现在能够在云环境里面提供额外安全。

    我完全赞同云计算安全(security in the cloud)。如果我们今天能够从头开始构建新的互联网,就会把许多安全功能嵌入到云环境里面,但即便那样也取代不了端点处的安全。深层防御消除了单一故障点,而云计算安全只是分层方案当中的一部分。

    比方说,考虑一下目前可供使用的各种基于网络的电子邮件过滤服务。它们在过滤掉垃圾邮件和病毒方面做得很出色,但认为它们就能替代桌面上的反病毒安全机制,那真是愚蠢的想法。许多电子邮件只是内部邮件,根本不会进入云环境。更糟糕的是,攻击者有可能打开企业基础架构里面的邮件网关。明智的公司会构建深层防御机制:云环境里面采用电子邮件过滤机制,桌面上则采用反病毒机制。

    同样的道理适用于基于网络的防火墙和入侵防御系统(IPS)。如果各大运营商部署基于云计算的解决方案,将会大大提高安全性,但它们替代不了传统的防火墙、IDS和IPS。

    这应该不是只能两者择一的决定。比如在Counterpane公司,我们既提供云服务,也提供比较传统的网络和桌面服务。真正的关键在于,让一切安全服务都能协同运行。

    安全涉及技术、人员和方法。不管你的安全系统位于何处,除非专家人员注意它们,否则它们没有效果。实时监控和响应最重要;设备放在何处是次要的。

    安全总是需要取舍。预算很有限;经济方面的考量经常压倒安全方面的顾虑。传统的安全产品和服务以内部网络为中心,因为内部网络是攻击目标。由于同样的原因,法规遵从也侧重于内部网络。云计算安全是一个很好的补充,而不是替代比较传统的网络和桌面安全。

0
相关文章