选择安全服务提供商提供的云计算安全服务可以降低成本、提供技术方面的灵活性,还能满足法规遵从要求。
Ken Emerson有理由感到担心。他是位于新泽西州拉瑟福德的鲍林斯普林斯储蓄银行(Boiling Springs Savings Bank)的战略规划主管兼CIO,他需要着手处理一大堆法规遵从问题,尤其是这家银行在确保敏感数据安全方面的问题。比如说,需要进行II级审计准则声明(SAS 70 Type II)评审,以便遵守《萨班斯-奥克斯利法案》和《金融服务现代化法案》之类的法规。
SAS 70 Type II是一项特别的审计,核实一家公司在处理用户交易方面的运营和内部控制。鲍林斯普林斯储蓄银行既可以选择请一家独立公司来进行评审,费用由银行自己出;也可以选择求助于已经落实了一套评审系统的公司。当时,Emerson正与一家互联网服务提供商(ISP)在合作。对方虽提供安全服务方案,却没有落实SAS评审系统。
鲍林斯普林斯储蓄银行是一家年收入达11亿美元的互助储蓄银行,在新泽西州北部的14个地区设有网点,只有五名IT人员。它还需要请一家独立公司来对自己的网络环境进行一年一次的渗透测试。另外,这家银行需要加强对整个网络基础设施的保护,远离越来越频繁出现的IT安全威胁,并且尽量减小其业务面临的风险。
于是Emerson决定采用云计算安全方案,与托管安全服务提供商(MSSP)Perimeter Internetworking公司合作,以满足上述这些需求。
他说:“云计算安全对我们来说很有意义。安全行业是你追我赶的领域,你一定要比最新威胁或者法规遵从要求领先一步;而外包是解决这个问题的一个好办法。我们的云计算安全提供商拥有专家人员,他们了解窃贼的想法,并且为最糟糕的情况作好了防备。”
对Emerson来说,说服银行的管理班子和董事会这是非常好的解决方案并不困难。他说:“我们可以清楚地表明具有的优点。我们节省了专职员工的费用、安全技术和网络集成费用以及所需要的渗透测试费用。我们很容易满足SAS和联邦存储保险公司(FDIC)的检查要求,证明这项投资能够带来积极回报。我们的董事会很快认可了这种概念:部署云计算安全,作为一项保险措施。”
Emerson之前也考虑过传统的MSSP解决方案(需要监控用户端设备),作为云计算安全方案的替代选择。但他在评估之后,认为这类服务很快就会过时。他发现,如果使用这些替代方案,还是需要员工花时间来安装及维护用户端设备,然后消除误报。另外,提供商满足不了他对SAS 70 Type II评审的要求,也满足不了其他任何法规遵从要求。
Emerson说:“我们之所以选择Perimeter,是因为它们通过了FDIC的检查,进行了自己的SAS 70 Type II审计,还因为它们进行了自己的渗透测试。因为我用到专业服务公司(service bureau),所以就会担心有人可能闯入我的网络。于是,我们寻求更加完整、全面的网络安全解决方案。”
这家银行连接到Perimeter,由对方检查所有进出流量。Perimeter过滤了这家银行的数据流量后,返回干净的进出流量。Perimeter使用商业意识基础设施(Business Aware Infrastructure),设置了策略,并且根据银行业务各要素的重要性、而不是根据网络里面使用的技术来评估风险。
银行采用了集中式网络配置,专用的帧中继连接从其总部连到Perimeter。在集中星型架构中,每家分行也有专用的帧中继连接连到拉瑟福德总部。这家银行还决定利用Perimeter作为其ISP,请Perimeter为它部署了安全的虚拟专用网(VPN)隧道,而不是部署通向安全基础设施的直接连接。
鲍林斯普林斯储蓄银行部署了Perimeter的诸多入侵检测服务,包括网络IDS、VPN远程访问、安全Web托管、垃圾邮件过滤、托管电子邮件、IP屏蔽及报告等功能。Perimeter还为这家银行提供了多层Checkpoint防火墙,另外提供了基于特征的入侵检测和入侵预防服务、异常入侵检测和入侵预防服务以及行为入侵检测和入侵预防服务,旨在检测异常行为,并且防范职业黑客。这包括垃圾邮件过滤功能,以及针对各种间谍软件、特洛伊木马、病毒和蠕虫的第三道防御级别。另外,银行还把电子邮件、电子邮件归档及网站外包给了Perimeter,如今使用Perimeter的网关电子邮件防御和反病毒机制。
这家银行使用Web内容过滤来了解员工使用互联网的情况。它能接到Perimeter发来的实时报告,了解员工在互联网上的活动。
Emerson说:“使用提供商的IDS系统,其中一个好处就是能够监控我们各个数据通道的性能。这样一来,我们就能够确认并排除哪些点有可能引起堵塞,从而影响网络性能。”
能够访问这个安全公用基础设施,这让这家银行得以使用一系列更广泛的安全技术。银行就能充分利用分层安全防御技术,因为它没必要统一使用某项单一技术。
Emerson估计,与雇用IT安全专家、请独立公司来进行渗透测试相比,银行使用Perimeter的服务每年可以省下大约2万美元的费用。
他补充说:“除了规模最大的那些银行或者公司,其他机构没有办法构建得了这种世界级的《财富》500强基础设施,另外还有训练有素的安全专家。”