评估一种新的云计算：安全即服务

在过去的几年里，越来越多的公司企业求助于软件即服务(SaaS)，以降低成本。有一类解决方案理应予以特别考虑，我们称之为"安全即服务"(security as a service)。越来越多的传统软件安全厂商在开发及增强基于服务的解决方案。这些方案通常保护防范万维网和电子邮件的威胁、监测进出的网络流量，以及评估对外网站，以查找潜在的安全漏洞。

虽然所有安全厂商都认为自己的解决方案具有降低成本的优点，但只有个别几家厂商认为，自己的解决方案作为一项服务来提供更好。这是一个处于转型中的市场。多年来，我一直在测试安全解决方案，所以挺幸运的，能够从有利的角度来观察这种转变。这些解决方案大多数是纯软件型的。后来，许多解决方案添加了集中管理功能，有些解决方案是随硬件设备交付的。

最早的安全即服务解决方案只是把这种集中管理控制台移到云端而已。这开了个好头，但远远谈不上充分利用云的所有优点。这类解决方案渐渐成熟起来，可以利用云的优势。比如说，Panda Security可以在云端、而不是在桌面端分析恶意软件，因而节省了本地处理能力。其他许多厂商也充分利用基于云的基础设施，对恶意软件进行更深入、更快速的分析。它们拥有比在单一客户处更强大的计算能力，另外可汇总来自许多客户的威胁信息，以便准确地了解威胁状况。

优点与缺点

虽然越来越多的安全功能在融入到这些解决方案中，但安全即服务仍有其优点和缺点。首先，许多解决方案仍然需要把软件代理装入到每个端点上。这是无可奈何的事实，所以应物色可自动部署及更新软件代理的解决方案。

对安全即服务来说，远程员工是自然的选择，但既然他们不在你的网络上，那么为什么他们需要使用你的内部安全服务呢?他们访问解决方案提供商的数据中心的能力与访问你的数据中心一样好(甚至更好)，所以应该让他们使用安全即服务。应当物色力求改进安全流程的安全即服务解决方案，而不是仅仅声称可降低总体拥有成本、迅速获得投资回报的那类解决方案。

在云端享用电子邮件和互联网威胁保护功能很明智，原因主要是这些流量在互联网上传输，可以在进入公司网络之前先加以清理。也很有必要运用一些基本的流量规则，比如由于相同原因，可以终止拒绝服务(DOS)攻击的规则。

不过再进一步的话，把防火墙部署在云端不是太明智。这种设备需要立即访问所有网络流量，而且在安全即服务提供商之间来回转发这类流量会让网络服务的速度对用户来说慢得出奇。同样，高度依赖内部资源的解决方案，如验证和访问控制软件，在客户现场使用也比较好。

洽谈安全服务合同时，始终要商定好服务级别协议(SLA)。如果你通过一家安全服务提供商来传送所有互联网流量，服务受到了某种影响，会出现什么后果?SaaS提供商完全瘫痪的可能性极小。更有可能出现的是性能方面的小故障，所以如果你想让自己花的钱划得来，服务级别协议就必不可少。

面简要介绍几款最近更新的安全即服务解决方案：

McAfee Security SaaS--迈克菲公司(McAfee)提供许多外包服务，比如采用外包模式的端点、电子邮件、万维网和网络保护。McAfee SaaS Total Protection(迈克菲SaaS全面防护)绝非徒有其名。该解决方案基本上取代了迈克菲传统的现场安全软件套件，可保护端点远离电子邮件和万维网的威胁。

链接：http://mcafee.com/us/enterprise/products/hosted_security/index.html

Panda Security Cloud Protection--这项服务可保护端点远离基于电子邮件和万维网的威胁。这是对熊猫公司(Panda)的平台所作的第三次重大改进，也就是说它很成熟。熊猫公司一开始就认识到，使用占用资源极少的客户代理才是出路，仅仅与提供商的云基础设施进行沟通，而所有繁重任务均由云基础设施来处理。这最大程度地减轻了用户系统的负担。熊猫公司的集体智慧(collective intelligence)网络每天可以分析数亿个可疑的恶意软件文件。

链接：http://cloudprotection.pandasecurity.com/

Symantec Hosted Services--赛门铁克公司(Symantec)除了通过MessageLabs提供电子邮件、万维网和即时消息等方面的安全外，还提供Hosted Endpoint Protection(托管端点防护)，为Windows台式机、笔记本电脑和服务器提供反恶意软件、软件防火墙和基于主机的入侵防御系统(HIPS)等服务。一家公司订购多项服务后，它就会引起赛门铁克的关注，然后可以开始评估来自多个渠道的威胁，以便实行统一防御。

链接：http://www.symantec.com/business/theme.jsp?themeid=hostedservices

Zscaler Cloud Services--不像上述的其他厂商，Zscaler是作为云安全服务而重新开发的。该解决方案不需要在客户处安装硬件或软件，提供了集成的万维网和电子邮件安全。这家公司很关注性能，在全球建有40多个数据中心，其解决方案基于多租户架构而建。基于万维网的管理图形用户界面(GUI)有着Web 2.0的外观感觉，并自带灵活的仪表板。

链接：http://zscaler.com/