从云计算安全的战略发展角度看,目前主要的安全解决方案供应商都将云安全、云计算基础架构安全和安全即服务作为他们进军云计算的着陆点。企业可以从以下角度考量云计算安全解决方案和服务。
云安全是伴随着云计算概念的兴起而逐渐为业界所认识,甚至在云计算概念的初期,风头曾盖过云计算。对于云安全架构本身而言,更着重突出安全供应商自身在安全技术创新和技术领导力的体现。可以说云安全架构为安全供应商的安全技术进展,安全创新思路,以及安全综合能力找到了更合适的“温室”。虽然这样一个架构在安全厂商诞生之日起就不断的进行技术上的革新和变化,但太多的强调了供应商自身的的水平,而忽视了如何结合更广泛的结合用户和企业的力量来对抗安全威胁。而云安全架构的问世,让人们对安全技术的认识更加具有普适性。所以安全供应商如果想在安全即服务方面,取得更大的竞争实力,自身云安全架构的先进性,以及所包容的企业触点和用户群将为其加上重重的砝码。
云计算基础架构安全脱离不开企业选择何种云模式,即私有云和公有云。而不论是企业自建私有云,还是选择云服务供应商的公有云服务,都需要考虑云基础架构的安全问题,但选择公有云的话,云服务供应商基础架构的安全问题,已经不是企业需要重要考虑的问题,但考量安全能力和水平还是必须的。整体而言,云计算基础架构的安全与传统IT安全架构在本质上没有太多的差异,但最大的变化来自虚拟化技术的巨大挑战。
很直观的的来看,虚拟化技术可以给企业的业务发展带来深刻的改变,深刻的内涵有很多,比如原来需要通过扩大硬件架构规模来对新业务和应用进行支撑,而未来更多的企业可以通过虚拟技术来实现,为企业大大的节省IT投入;业务运营也将更加灵活;提升资源利用率等等。一方面虚拟化技术的隔离功能,可以有效的防御恶意软件对主机的攻击;另一方面,虚拟机上所运行的系统,软件漏洞等与物理情况下的系统完全一样,于是当管理员在物理平台上安装不同的虚拟工作负载后,那么就要对之前定义的统一安全控制进行重新修改,同时也给安全监控带来困扰,因为虚拟机是动态迁移的,那么安全策略和控制机制呢?最后一点,就是企业对虚拟化技术的普及在未来所带来的安全威胁问题的预知估计不足,所以企业在看到虚拟化技术带来的巨大优势同时,也要适时的将风险做到心中有数。
所以在未来,安全供应商必将在传统安全解决方案和产品的基础上,加大对虚拟化安全技术的研发,不断在在企业私有云建设和维护,以及公有云服务供应商那里扩大影响力。而且,对于安全供应商来讲,可能会更多的去考虑动态安全策略的实施和部署,同时兼顾企业在选择不同云模式的情况下安全技术和解决方案的兼容能力。灵活安全策略和安全控制能力将成为企业选择安全供应商的标配。
最后,我们谈谈安全即服务(Security as a Service)。作为SaaS的重要衍生品,安全即服务将成为安全解决方案和安全服务供应商未来差异化竞争的重要驱动力。因为无论云安全架构多么的强大,无论可以为企业提供多强的安全保障,在未来云计算的大势下都变的更加隐性,对企业来说未来的基础架构,安全架构应该越透明越好,最好让企业根本不要考虑这些问题,企业只需要全身心的把精力放在业务上就好了,这是一个理想形态。但企业会直接的碰触到云服务供应商所提供的服务能力,安全供应商的服务能力。如果我选择你的漏洞扫描服务,如果我选择你的反垃圾邮件过滤服务,那么我的业务会得到什么级别的安全保障呢?
那么安全供应商可以很直白的告诉用户,我提供的安全服务保障程度要比其他供应商高出多少。可能简单的几个数据和回答,几个案例的展示,突发事件的应对情况,就会将自身的安全服务能力展示出来。而且这样的差异化安全服务,可以逐步把用户对“绝对安全的伪命题”中拉回来,企业和安全供应商的相互依赖性会更加的平衡。
而目前安全即服务的现实情况,远远低于企业对实在解决方案和技术的关注,起码国内市场目前是这样的。与软件即服务相比,安全即服务在国内仍然处于市场培育期,但这丝毫不影响主要的安全供应商,风风火火的增强基于服务的解决方案。比如赛门铁克提供的Hosted Services,迈克菲SaaS Total Protection,Zscaler Cloud Services等等。
最后我想告诉朋友们的是,安全即服务是突破传统安全观念的模式,是切实可行的、有效的和节省成本的服务模式。