術業有專攻——雲計算時代下的安全反思

最近跟IT安全業界的人交流，很多人談到對於安全的反思。 企業部署安全產品歸根結底是為了實現安全產品的功能，達成保護企業IT環境安全的目的。 而在PC時代和互聯網時代，使用者被各種各樣的安全設備包圍，防火牆、資料防洩漏方案、殺毒軟體、安全閘道....

然而，儘管部署了這麼多的安全設備，但是今天我們仍然看到非常多的安全事件：索尼PSN被黑、RSA認證技術資料被盜、花旗銀行使用者資料洩露....(相關專題：2011上半年駭客攻擊大事記) 而更為可怕的是這些被披露的安全事件僅僅是冰山一角，還有大量安全事故並未見報。

企業面臨的安全難題

綠盟科技總裁吳雲坤在今年11月初的雲安全聯盟的高峰論壇上介紹了目前安全運維的一些現狀，對於瞭解目前企業面臨的安全問題非常具有啟發性。 他提出了以下三個關鍵字：

發揮效用：企業(使用者)部署了不少安全設備，但這些安全設備在企業的運營環境中發揮效用的有多少，能發揮多大效用？ 實際上，企業常常面臨這樣的問題，就是他們部署了很多安全產品或者技術，但是一段時間之後就不用了。 因為他們要保護的資訊太多，而這些安全產品和技術又會發出這樣或那樣的安全警告，而這些警告又沒有辦法與實際的安全風險建立起相關性，久而久之便被忽略了。 因此這些安全產品或技術並沒有將它們的能力發揮出來。

7*24小時：企業的主營業務不是安全，不會配備大量的專業安全人員負責企業安全運維。 然而安全問題是無時無刻都會發生的，企業如何能保證7*24小時的安全防備？

業務安全專家：當前企業的安全運維工作呈現一種金字塔的特點(如下圖)。 金字塔底層主要包括管理身份認證，打補丁，漏洞掃描和評估，安全配置核查，並對安全事件進行回應，然而因為技能、工具和資源不足，企業忙於各種應急處理，甚至需要應付客戶的抱怨。 處於金字塔中介層的包括進行防火牆/IDS策略檢查和調優，安全狀態評估，安全與專案管理，配置變更管理流程集成。 金字塔頂層與業務密切相關，更多的是確保安全性原則與業務應和，進行運維方面的管理。 金字塔底層的工作量最大，但最有價值的往往是金字塔頂層的工作。 然而，目前企業大部分精力花在金字塔底層，用於基礎的運營工作，忙於打補丁，修復漏洞，應對安全事件，卻沒有精力規劃安全與業務的應和策略。

企業IT運維的金字塔模式

另外，移動化、雲計算這些技術趨勢也使我們的系統越來越複雜，業務越來越複雜，業務的創新也直接影響著作為業務支援的IT的發展，因此面對的安全問題也越來越多。

最早的時候，企業使用者購買安全設備就能產生效果，但後來我們發現很多效果已經不是那麼明顯了。

回歸安全的本質——雲計算時代下的安全

回歸本質，我們發現企業需要的只是安全本身，不是設備，不是服務或者其他;我們還發現企業IT部門主要職能是為企業的業務提供技術支援和安全保障，因此安全人員需要既懂安全也懂企業業務。

那麼，為什麼不把安全外包呢？ 把很多安全的複雜性工作交給外包商去解決，而企業的IT安全管理人更多地去理解業務，根據業務制定安全管理原則。 術業有專攻，專業的安全團隊能夠更加快捷高效地解決安全問題。

雲計算的出現恰恰為這種安全的外包提供了有力的支援。 由創新工廠投資的安全寶專案便是利用雲計算技術來為(個人或企業)網站提供安全服務，使用者一旦選用這一安全服務，便能零部署和零維護地實現自己的安全需求，這樣的格局能夠很好地解決企業以上的困惑。 (相關報導：安全寶:訂閱即可實現網站防護的雲安全服務)

企業可以把一些專業性的安全問題交由專門的安全公司來做，如交由專業公司來對安全設備進行即時監控，發現與告警異常安全事件;監控與分析安全設備日誌，生成告警與定期分析報導;遠端或本地進行安全事件處理等。 專業安全公司將説明企業管理好安全，發現並處置網路安全異常。 這樣將極大地降低設備採購和運維維護成本，提高安全運營效果，提高利用率，並且專業的安全專家團隊能夠實現7*24小時的遠端值守服務，提升整體安全保障能力。

而企業則做一些更為重要的工作，就是關注企業的核心業務領域，把精力從底層的運營工作中轉移到金字塔頂層的運維及管理原則的制定上面。

雲計算出現對於我們的意義，不僅僅是一種技術上的創新，更是一種IT模式的改變，這種改變將為整個IT行業帶來發展動力和更大的價值。 現在，這種全新的IT模式正在逐漸從概念演進為實踐。