安全即服务(Security as a Service; SaaS)
目录
|
安全即服务(security-as-a-service,SaaS)是一个用于安全管理的外包模式。通常情况下,安全即服务包括通过互联网发布的应用软件(如反病毒软件),但这个词也可以指外部组织提供的内部安全管理。
安全即服务有很多好处,其中包括:1.持续的病毒定义更新。2.更高的安全专业知识。3.更快的用户配置。4.管理任务外包,如日志管理,可以节省时间和金钱,使一个组织能把更多的时间用于其核心竞争力。5.一个Web界面,允许一些任务内部管理,以及查看安全环境和正在进行的活动。
基于互联网的安全(有时称为云安全)产品是软件即服务(SaaS)的一部分。Gartner公司预测,用于信息应用程序(如反恶意软件和反垃圾邮件程序)的基于云的安全控制在2013年将在该行业中产生60%的收入,高于2008年的20%。
安全即服务(SaaS)产品的厂商有思科、McAfee、熊猫软件、赛门铁克、趋势科技和VeriSign公司。
1.人员力量增强
信息安全是一种劳动密集型工作。我们可以自动化很多工作,但最终总是需要人来做出判断。我们需要从服务器、网络设备、防火墙和入侵检测系统收集日志,这些都要求工作人员完全集中注意力。劳动力是安全计划中最繁忙的。数据泄露随时可能会发生,而系统始终“忠诚地”记录着信息,直到有人有足够的时间来转译这些日志信息。最近发生了很多涉及系统渗透的数据泄露事故,这些泄露数月后才被安全团队发现。并且,这些数据泄露事故的报告往往来自外部第三方,因为内部没有人有时间来转译这些日志数据。
这也是安全即服务派上用场的地方。云计算主要是共享资源以实现规模经济。安全即服务解决方案可以指派团队处理特定活动(例如监控日志),并在很多不同客户间分摊成本,为大家降低单位成本。安全计划现在可以提供一个专门的日志监控小组,如果没有基于云计算的模式,这是不可能实现的。这提高了安全计划的有效性,并且让内部人员有更多时间放在更高层次的风险管理工作上。
2.提供先进的安全工具
我们都做过这样的事:下载需要投入大量时间以降低安全风险的开源安全工具。这些开源工具是免费的,并且也不需要其他预算。开源技术并没有问题,甚至非常好用。不幸的是,开源技术需要花费大量时间来在生产环境中安装和维护。例如,你花了多少小时来试图找到一个Snort规则,以让你的IDS服务启动?
在另一个领域,部署安全即服务也十分有效:你的安全计划还可以通过云计算规模经济获得先进的安全工具。这些可用安全工具的质量和种类可以与其他企业内部部署的商业产品媲美,且花费没那么多。更重要的是,这些工具将由云服务供应商来维护,所以你有足够的时间来利用这些工具的优势。
3.提供专业技术知识
信息安全是一个广泛的话题,不可能有人了解各个方面的各个细节。例如,一些安全专业人士专注于取证,而另一些则专注于Web应用安全。其他人则因为在企业的安全计划中缺乏足够的人力资源,而仅有全面但不精细的安全知识。这种知识方面的差距可能导致严重的盲点--无法察觉到风险,更别提缓解风险。
安全即服务可以帮助解决这个问题。提供基于云计算的安全的供应商主要侧重于信息安全的特定方面。例如,一些供应商提供基于云的漏洞扫描仪(由专家维护)来检测互联网中可利用的系统。其他云供应商则围绕抵御拒绝服务(DoS)攻击来建立自己的整个网络。企业没有足够的资金聘请相关安全专家或部署资源,而安全即服务让企业可以利用这些专家和资源的优势。这使得内部安全人员不用过多关注技术细节,而更多地关注如何战略性地管理企业的信息安全风险。
4. 将信息安全定位为业务推动力
信息安全部门通常被认为是在企业活动中设置路障的部门,造成这种想法的原因有很多,而这实际上可能并不是信息部门的错误。企业中的一些人可能不理解用于保护机密数据的加密或防火墙技术的重要性。即使他们明白这些技术背后的原因,他们肯定也不明白部署这些安全技术所需要的时间。
安全即服务也可以帮助解决这个问题。它不能让企业其他部门了解安全需求,但它能确保更快的部署安全技术,而这可以减少既定的企业项目的影响。这是所有基于云计算的安全服务的一个关键优势,安全计划必须利用这一优势。例如,虚拟服务器可以快速自动地通过相同的防火墙规则来配置。这还可以让信息安全部门与企业领导建立不同的关系,并可以改变人们对信息安全的看法,将其视为业务推动者,而不是障碍。
5.一种新方法
除了安全即服务的诸多好处外,一些新类型基于云计算的安全也具有一定的优势。除了传统的电子邮件和Web过滤安全即服务外,还有一些新服务值得企业关注,它们可以帮助解决安全行业一直在努力解决而未见成效的老问题。云计算模式的引入为我们提供了一种新方法,也许可以帮助我们解决这些难题。
6.身份管理
密码是众多老问题中的一个,它几乎与多用户计算同时出现。在20世纪80年代的一部电影中,我们看到了一个黑客从便利贴窃取系统密码,现在,员工仍然将写有密码的便利贴放在其键盘下。用户管理单个密码都有困难,更别提现代环境中让他们背负10个密码。
对于系统管理员和人力资源部门而言,管理员工账户并不是简单的工作。新员工都在等待访问系统以完成其工作,而有时候,当员工离职后,其账户可能没有被及时禁用。这种复杂的手动系统给系统管理员和人力资源两方面都带来安全风险。
有几个可靠的安全即服务产品可以加快账户管理过程,并提供单点登录功能。它们可以与云端的系统以及内部网络中的系统配合使用。这些服务利用了开放标准协议(例如SAML),甚至允许结合内部微软Active Directory基础设施。通过这种混合方法,即内部和外部服务从同一来源进行身份验证,企业可以节省时间和资金,简化密码过程,同时还降低整体风险。
7.虚拟机管理
在单个硬件服务器运行多个虚拟服务器是信息技术领域最具颠覆性的改变。企业迅速部署私有云、公共云和混合云来取代挤满数据中心的物理硬件。然而,这项技术也可能给信息安全带来破坏性的影响,同时带来更多新的挑战。
在公共云或私有云管理虚拟服务器的挑战之一是配置管理。配置管理包括通过基于企业政策的安全方法配置和维护服务器,这些方法有防火墙政策、文件系统权限和安装的服务。支持这一过程的技术已经充斥在数据中心中。基于云计算的配置管理系统需要能够跨多个云服务供应商和内部数据中心提供这种功能。
用于配置管理的基于云计算的安全服务提供这种功能。它们用越来越多针对Windows服务器的功能提供对Linux的完整控制,它们还可以用于GoDaddy.com托管的服务器以及Linode托管的服务器。令人惊讶的是,这些新的基于云的配置管理系统更易于配置,并且与之前内部托管系统一样强大。这是值得安全专业人士关注的另一个基于云计算的安全服务,即使他们只有内部服务器资源需要管理。
8.网络层保护
在过去几年中,保护对基于互联网的资产的网络连接变得越来越迫切。现在,网站正越来越多地受到网络犯罪分子和黑客组织的攻击。黑客组织Anonymous使用低技术工具(例如Low Orbit Ion Cannon)对各种企业发动DoS攻击继续成为新闻头条,这种类型的攻击主要出现在企业靠互联网来访问基于云的应用的当下。
对这种针对云资产的攻击的最好防御其实是云本身。一些安全即服务解决方案通过利用大量带宽和智能协议路由,来提供针对DoS攻击的保护。这些服务还可以将Web服务器隐藏在其前端服务器后,防止遭受路过式攻击。其他基于云计算的安全包括PCI DSS、数据标记化、web应用防火墙以及隐藏DNS服务器。
对于缓解安全风险,世界上并不存在完美的工具,安全即服务也不例外。基于云计算的安全服务和所有其他云服务相同的安全风险一样,主要分为以下几个类别:
1. 云供应商对你的数据拥有一定程度的访问权限。云供应商必须谨慎处理安全相关的数据,因为这些数据的泄露可能导致多个数据泄露事故。更全面的云计算服务应使用加密技术,但这里仍然存在供应商密钥管理的问题。对于需要拥有最高数据保密性的应用的企业,最好考虑使用内部解决方案。
2. 安全即服务将是从互联网访问。对于内部系统,安全专业人员不需要考虑这个风险,在过去,将内部防火墙管理工具暴露在互联网从来都是不被接受的做法。这些服务器的身份验证系统必须提供强大的多因素身份验证,以确保适当的保护水平。你还需要考虑潜在的DoS攻击,如果没有强大的保护,攻击者可能会修改服务或者阻止企业管理或访问这些服务。
3. 安全即服务供应商间输出服务的开放标准不太可能。使用这些服务的企业需要明白供应商间的任何切换将是完全手动的操作,包括在新供应商处重新建立防火墙规则、虚拟机配置和身份验证方法。
4. 企业应该进行详细的供应商尽职调查审计,以对待任何其他云服务供应商的方式来对待安全即服务。企业应该仔细选择供应商,并调查其财务状况,以确保他们不会突然人间蒸发。彻底检查服务供应商的信息安全状态,从SAS-70或者SSAE-16审计报告以及漏洞评估报告开始。企业需要完全信任云供应商,所以,这种审计是至关重要的。
5. 对于基于云计算的安全服务,合规是另一个难以解决的问题。一个服务可以提供一流的审计报告,并满足所有尽职调查的技术要求,然而,却可能仍然不能满足合约或法律协议,例如HIPAA法案要求的商业伙伴合约(Business Associate Agreement)。这种情况正在改善,但企业必须了解安全即服务供应商将如何满足其特定的合规要求。
安全即服务的起源有三个推动力。最早的推动力在距今十年前:垃圾邮件,或者说是不明来源的电子邮件。早在1999年,就有公司(注: 例如Postini公司, 它于2007年9月被Google公司收购)提供如下的电子邮件服务。Postini公司的理念是:电子邮件应当变得更好,而且可以变得更好。尽管电子邮件是最流行的互联网资源,但服务提供商和软件开发者并没有使电子邮件变得更好,最糟糕的是,积极的市场营销人士把任何电子邮件用户都作为潜在的用户。Postini公司的服务可以用来扩展你的服务提供商的电子邮件产品的能力。针对垃圾邮件的服务只是第一步。在未来的几个月中,你会看到更多的Postini服务,使电子邮件变得更好(注:根据2000年5月10日Postini.com的互联网档案馆时光机。另一家电子邮件过滤公司MessageLabs,成立于1999年,并在2008年5月被Symantec收购, 曾经把自己称为应用程序服务提供商—— 云计算的早期演变)。一些其他的公司现在也提供电子邮件过滤服务,这都是些独立的安全公司,许多互联网服务提供商(ISP)也常常使用自己的品牌转售这些独立安全公司的服务。
安全即服务的第二个推动力是托管安全服务(MSS)。托管安全服务提供商(MSSP)已经为用户提供了数年的外包服务,在这种模式下,MSSP替机构管理其网络安全设备,例如,防火墙和入侵检测系统(IDS)。使用MSS的动力与云计算相同的:相对于机构内部的解决方案,通过共享资源可以降低费用。MSSP和CSP的区别在于:MSSP的共享资源是人员,而不是基础设施。此外,由于很多机构没有配备人员去处理全天24小时对于此类服务的支持,也没有为此类岗位配置充足的具有专门知识的人员,MSSP的共享服务(如人员)模式在财政上则变得十分有吸引力。MSSP模式成为云计算服务提供商的推动力,是因为MSSP模式打破了机构信息安全项目外包部分非正式但十分强大的障碍。在这种情况下,外包也意味着信息安全设备的远程运行模式管理。 (虽然外包信息安全常常是个选项,但最初的外包是趋于本地运行模式,即在用户自己的设施内,与远程运行模式有所不同。当然,现在的外包可以是本地运行模式、远程运行模式、在岸外包 离岸外包以及交付模式的其他变体。)
在MSSP模式下,虽然网络安全工作外包了,但用户安全的责任还是留在了用户这边。用户负责管理和监测MssP,并选择执行各种安全策略。MSSP监测和管理设备(如防火墙、入侵检测系统)以及数据流(如网络、内容或电子邮件过滤),这些设备(包括用来管理和监测数据流的设备)是属于用户的。因此,节约成本和提高效率也只能到此而已。尽管这是订购类型的服务(运营成本,常写作OpEx),但还存在用户本地硬件的相关资本开支(常写作CapEx)。使用云计算, 由于绝大部分的设备以及监测和管理都由安全即服务提供商负责,资本开支将进一步缩减。
安全即服务的第三个推动力是直接在终端提供安全,组织效率会下降。不仅仅因为终端数目的激增,许多配置变量也是IT部门无法有效管理的;此外,由于许多终端是可移动的,解决配置问题并保持安全软件及时更新也会成为艰巨的任务;再加上许多移动设备缺乏足够的资源(如处理能力、内存和存储能力)用以处理当今的终端保护套件,终端保护的情况并不乐观。
由于这些问题,加之恶意软件的爆炸式增长,终端保护成为一个日益严重的问题。例如, “在2008年,Symantec检测出1 656227个恶意代码威胁。这占据了Symantec长期以来检测的约260万恶意代码威胁的60%” (注:Symantec全球互联网安全威胁报告: “2008年趋势” , 第14卷第1O页,2009年4月出版)。这导致了终端保护的思维改变。为什么不通过云计算保护终端,而合弃在终端上进行终端保护呢?也就是说,为什么不经过云计算清理出入终端的网络流量,合弃试图监测和管理终端自身的复杂处理,将监测和管理出入终端网络流量的活动(而不是监测和管理终端设备自身)转移到云计算中进行呢?
将反恶意软件保护措施迁移到云计算中而不是驻留在终端,这个概念在2008年7月于加利福尼亚州圣何塞市召开的USENIX 会议的论文中得到了相当大的强化。论文标题为“CloudAV:N—Version Antivirus in the NetworkCloud”,论文表明基于云计算的反病毒(如反恶意软件)对近期威胁的检测能力较基于终端的单引擎检测能力可提高35%,使总体检测率达到98%,这显著优于运行在终端的单引擎的检测结果。(由于终端资源的限制以及运行多引擎的不兼容性,终端一般一次仅仅运行一个反恶意软件引擎。)
当今在安全即服务部分的产品涉及几个改进信息安全的服务:电子邮件过滤(包括备份、归档和电子发现(注: 电子发现是指民事诉讼方面对于电子格式信息的发现。虽然电子发现不(也不应当)局限于电子邮件, 但由于机构的许多信息是通过电子邮件传送的, 电子邮件明显成为开始电子发现程序的最佳位置),网页内容过滤,漏洞管理,身份即服务(在本文中写作IDaaS)。
在电子邮件方面,安全即服务主要涉及清理垃圾邮件、钓鱼电子邮件以及包含在传人到机构的电子邮件流中的恶意软件,然后将干净的电子邮件安全的提供给机构,以便邮件不会再次遭受污染。这种方法的好处是: 由于使用多引擎,用户不仅能得到更加全面的安全,还可以改善设备的性能(因为反恶意软件的引擎是运行在云计算中,而不是直接运行在终端),并能够得到更好的对于反恶意软件的管理。反恶意软件管理优于终端解决方案,是因为反恶意软件是与操作系统和处理器无关的,这样可以通过云计算集中管理,而不用处理很可能从多个反恶意软件提供商处获得的多个管理系统。这种在云计算中清理的服务必然会带来的好处是:减少电子邮件使用的带宽、降低机构电子邮件服务器的负荷, 以及提高机构(或收件人)自身反恶意软件努力的效果。虽然在电子邮件方面,安全即服务的绝大部分注意力集中于人站电子邮件,但在出站电子邮件方面也常常使用安全即服务。许多机构想要确保他们不会无意间发送感染了恶意代码的电子邮件,通过安全即服务清理出站电子邮件是阻止此类问题和避免尴尬的好方法。此外,对于出站的电子邮件可以使用安全即服务以执行机构关于电子邮件加密的策略(例如,在指定的电子邮件域内,如属于业务合作伙伴或者属于用户的电子邮件域)。通常电子邮件加密在(电子邮件)服务器到服务器层面执行,这样不需要个人用户参与,也不需要密钥管理。这可以通过在传输层的网络通信中使用安全套接字层(SSL)或传输层安全协议(TLS)实现。
使用安全即服务反恶意软件的进一步好处是,在跨越了企业所有终端的可见恶意软件威胁当中提炼出来的整体智能特性,与类型(如服务器、台式机、笔记本电脑或移动设备)、位置、操作系统或者处理器架构无关,可以及时拥有更大的视野,对于机构的信息安全队伍而言有很大帮助。
电子邮件安全即服务也包括电子邮件备份和归档。这个服务通常涉及在集中的存储库中存储和索引机构电子邮件信息及附件。这个集中的存储库允许机构通过一些参数索引和搜索,参数包括数据范围、收件人、发件人、主题和内容。这些功能对于电子发现非常有用,如果没有这些功能,电子发现的过程可能耗资巨大。
当属于机构的终端,无论在机构设施内、在家或者在公路上,试图获取网页流量时,这些流量被转移到安全即服务提供商处,并进行恶意软件威胁的扫描,以确保只有干净的流量传送到终端用户。机构可以通过允许、阻止或限制流量(减少流量所用的带宽)的方式执行其网页流量策略。由于当今可访问网站的数目异常庞大,早期部署于机构内部的URL (统一资源定位符)过滤解决方案变得越来越低效。安全即服务提供商可以通过检查HTTP (超文本传输协议)头信息、页面内容以及嵌入的链接,更好地了解网站内容,从而为URL过滤措施提供辅助。此外,这些服务使用集体信誉记分制以加强过滤的精度。
网页内容的安全即服务还包括对出站网络流量扫描,防止用户可能没有合适授权(数据泄露保护)而向外传递敏感信息(如ID号码、信用卡信息、知识产权)。网络流量的扫描还包括内容分析、文件类型以及模式匹配, 以阻止数据泄露。
随着互联网机构在规模和复杂度上的增长,以及这些机构运行重要性的提升,确保相关系统的安全配置及运行变得愈加重要,也愈加困难。有的安全即服务提供商对系统漏洞进行发现,评估并确定优先级别,之后报告并补救这些漏洞以确保系统的安全运行。这些信息也用于监测及报告合规性(如支付卡行业的数据安全标准)。
相对于电子邮件过滤、网页内容过滤和漏洞管理等安全即服务中的实力型产品,身份管理即服务(IDaaS)是近期出现的安全即服务的实例。与云计算中使用的身份及访问管理(IAM)相比,目前的身份及访问管理在功能上有明显的缺陷(如可扩展性)。身份管理即服务试图在云计算中提供身份及访问管理服务。比较早期的身份管理即服务产品往往把重点放在身份验证上,因为这是用户最关心的问题。然而,对于云计算服务提供商而言,最重大的问题是关于身份管理即服务提供商,以及开发某种形式的协同元系统。 (正如元目录在机构内不会改变规模,虚拟目录也不会根据云计算的水平而改变规模。)身份管理即服务提供商也需要为云计算用户提供其他的身份及访问管理服务,包括授权(至少包括群组和角色)、用户开通和审计。