云计算的出现，让业内大众兴奋不已，争论不断。本文也是国外众多专家对企业安全在未来云计算时代里的变化提出了各自的观点，甚至观点相悖。正如古语之言——“理不辩不明”，不同观点的冲撞，或许给你更多的启发……

    云计算安全是出路

    Brad Miller是Perimeter Internetworking公司的首席执行官，Andrew Greenawalt是Perimeter Internetworking公司的创办人兼首席技术官。这两位专家认为，外包安全服务优于基于客户现场设备的系统。

    托管型客户现场设备（CPE）代表了提供托管安全服务的传统方式。这可以从几个方面得到体现，包括大多数托管安全服务提供商未能获得商业上的成功，尽管许多这类提供商归一些资金充裕的大公司所有。

    托管型CPE解决的只是一个大问题的一个小部分：监控设备所需的人力。比较大的问题是，能够在成本和速度方面跟踪迅速变化的安全威胁。安全领域已变得很复杂，托管型CPE公司的两项主要服务：防火墙和入侵检测系统（IDS）已跟不上发展形势。如今，有数百项安全技术可以解决众多问题；每天也在推出新的解决方案来解决还没有被发现的问题。正因为如此，真正的安全问题在于这个周期：发现新的问题，评估新的产品和厂商，进行研究开发以便选择合理产品，采购这个合理产品，把它与其他所有安全技术集成起来。事后管理技术是整个安全版图当中很重要但很小的一块。大多数公司仍然不安全，这不是由于它们缺少好的技术，而是由于缺少时间和资金来部署好的技术。

    “云计算安全”是一项托管安全服务，它通过中央安全平台来重新引导流量，从而阻止了不良流量进入到客户端。它提供了一套经过全面设计、构建及部署的安全服务，客户可以按需订购。由于客户可以访问集中式平台或者安全公用服务，所以能迅速充分利用众多的安全技术，而且比自己构建系统来得省钱。一家大型提供商服务于众多客户带来的经济效益，以上能够迅速集成新技术，这对一家公司能够实现真正的安全来说极其重要。有了云计算安全，客户就能得到这样的好处：能够更迅速地获得更多的安全技术，而且成本更低。

    除了节省费用、加快部署外，云计算安全技术提供商还能提供可以在之前无法实现的层面进行集成的产品。比方说，阻止可能不合法的流量时能够考虑到反病毒特征的IDS和入侵防御系统。紧密集成部署的众多安全技术可以说是安全行业梦寐以求的目标，但基本上仍很难实现。云计算安全服务提供商能够以一种对大多数公司来说不可能实现的方式，使这种集成项目变得合理化。

    结论就是，提供出众保护、费用低廉、部署快速的云计算安全会进一步排挤基于CPE的托管安全。各大运营商会积极采用云计算安全，因而不需要使用CPE系统。如果传统的托管安全服务提供商（MSSP）接受这一现实，并且与各大运营商开展合作，共同迎接这股不可阻挡的潮流，就会处于比较有利的地位。

    云计算安全不是出路

    Counterpane Internet Security公司的首席技术官Bruce Schneier认为，没有什么替代得了内部部署安全。

    安全的其中一个基本理念就是深层防御（defence in-depth）：多个相互重叠的安全系统旨在提供安全，即便其中一个系统出了故障。一个例子就是防火墙结合入侵检测系统（IDS）。深层防御之所以能提供安全，就是由于没有单一故障点，也没有假定的单一攻击途径。

    正是由于这个原因，到底是选择在网络中间（云环境里面）部署网络安全，还是在端点部署网络安全，这种选择就显得没有必要。没有哪个安全系统是万灵药，双管齐下的效果要好得多。

    这种分层安全正是我们看到在日趋发展及完善的。传统上，安全部署在端点处，原因是这是用户所能控制的。一家公司除了在自己的网络里面部署防火墙、IDS及反病毒软件外，别无选择。随着托管安全服务及其他外包网络服务的兴起，现在能够在云环境里面提供额外安全。

    我完全赞同云计算安全（security in the cloud）。如果我们今天能够从头开始构建新的互联网，就会把许多安全功能嵌入到云环境里面,但即便那样也取代不了端点处的安全。深层防御消除了单一故障点，而云计算安全只是分层方案当中的一部分。

    比方说，考虑一下目前可供使用的各种基于网络的电子邮件过滤服务。它们在过滤掉垃圾邮件和病毒方面做得很出色，但认为它们就能替代桌面上的反病毒安全机制，那真是愚蠢的想法。许多电子邮件只是内部邮件，根本不会进入云环境。更糟糕的是，攻击者有可能打开企业基础架构里面的邮件网关。明智的公司会构建深层防御机制：云环境里面采用电子邮件过滤机制，桌面上则采用反病毒机制。

    同样的道理适用于基于网络的防火墙和入侵防御系统（IPS）。如果各大运营商部署基于云计算的解决方案，将会大大提高安全性，但它们替代不了传统的防火墙、IDS和IPS。

    这应该不是只能两者择一的决定。比如在Counterpane公司，我们既提供云服务，也提供比较传统的网络和桌面服务。真正的关键在于，让一切安全服务都能协同运行。

    安全涉及技术、人员和方法。不管你的安全系统位于何处，除非专家人员注意它们，否则它们没有效果。实时监控和响应最重要；设备放在何处是次要的。

    安全总是需要取舍。预算很有限；经济方面的考量经常压倒安全方面的顾虑。传统的安全产品和服务以内部网络为中心，因为内部网络是攻击目标。由于同样的原因，法规遵从也侧重于内部网络。云计算安全是一个很好的补充，而不是替代比较传统的网络和桌面安全。