RSA 2010:托管提供商向用戶提供“安全即服務”
隨著云計算應用的增長,托管提供商將與安全廠商簽署協議向用戶提供“security-as-a-service”(安全即服務)的選擇。但是,企業IT經理會把這種新穎的安全方式結合到云計算環境中嗎?
肯定會有一些抵制,因為IT和安全經理都在努力解決風險因素和法規遵從的問題。
安全研究公司TheInfoPro的總經理Bill Trussell說,相當多的機構正在使用他們認為是云計算服務的東西。這家研究公司剛剛發表了其半年度的對北美大型企業和中型企業的信息安全專業人員進行的調查。但是,當TheInfoPro詢問受訪者他們是否在云計算環境中使用基于云計算的安全服務的問題時,不到15%的受訪者表示很可能使用這種服務。
Trussell說,當問到機構是否會向云計算提供商擴展用戶接入與配置或者雙因素身份識別等功能的問題時,受訪者表示這起情況并不太常見。企業安全人員對于那些基本上不太熟悉的東西、不在他們的現場的東西、不在他們直接控制之下的東西、甚至在他們使用的云計算提供商直接控制下的東西仍然感到很緊張,因為安全服務是由擁有安全技術專長的第三方廠商控制的。
不過,這些新的安全即服務計劃將很快應用到云計算。
例如,提供基于云計算的按使用收費的商務智能服務(包括為與Salesforce.com有關的數據提供分析服務)的PivotLink與Novell合作測試Novell的云計算安全服務。這項服務包括根據在GoGrid托管的軟件實施的各種身份管理功能。
PivotLink負責開發的高級副總裁Bob Kemper說,我們從Novell的服務中得到我們的身份識別。Novell的服務插入到客戶的服務中。目前,我們使用身份識別管理和他們的授權來管理這個安全水平。Novell與必要的企業系統集成在一起用于訪問信息。
PivotLink的客戶(其中許多是企業的零售經理,包括REI)要利用Novell的云計算安全服務不必在自己的現場使用Novell的軟件。
Kemper說,如果他們在使用LDAP(輕量級目錄訪問協議)或者活動目標基礎設施,它就會起作用。基于云計算的服務利用基于SAML(安全斷言標記語言)的授權。這個正在與Novell進行測試的計劃允許一個用戶自動解除一個將要離開的存儲管理員的配置,并且增加一個新的經理,使用PivotLink服務按照同樣的角色自動授權。
Kemper說,我們的客戶說,我們需要這個水平的控制和管理以及某些形式的審計。他補充說,客戶說他們對于把敏感數據上載到云計算感到更舒服。
PivotLink希望能夠在今年夏季之前公開提供基于Novell的云計算安全服務,把這個服務作為自己產品組合的一部分。Kemper說,推出這些種類的安全控制的最佳方法是與Novell這樣的合作伙伴合作提供一種服務模式。Novell也維護自己的云計算。
Novell云計算安全業務部門總經理Dipto Chakravarty說,Novell正在與許多SaaS(軟件即服務)和托管提供商聯系,以評估他們在基于云計算的安全方面與Novell合作的興趣。
Chakravarty說,我們的考慮是Novell必須中立地支持技術協議,支持SAML 1.1、SAML2、WS-Fed、InfoCard和OpenID以及在企業方面的Shibboleth。這個Novell云計算安全服務是一個真正的多租戶托管的安全解決方案。它可以在SaaS的托管提供商那里托管,或者由Novell的一個合作伙伴托管。
Novell并不是唯一的渴望得到基于云計算的安全服務角色的公司。
包括StillSecure和Alert Logic在內的其它安全公司將提供入侵探測/防御(IDP/IDS)服務,在云計算服務提供商那里代表客戶保護基于虛擬機的服務器。
為醫院和健康醫療機構提供病歷管理的Automated Document Solutions (ADS)公司的IT經理Mike Crews說,該公司利用Host.net作為某些目的的云計算提供商。當Host.net幾個月前開始與StillSecure合作提供IDS/IPS服務的時候,ADS用戶得到了這種24小時不間斷監視的好處。
Crews說,這項服務是在Host.net那里得到這種類型的監視的極好機會。ADS很難依靠自己的力量建立這種監視能力。到目前為止,與StillSecure一起提供的這個安全服務一直工作得很好。StillSecure擁有自己的網絡運營中心,監視在Host.net網絡上的ADS虛擬機上正在運行的東西。StillSecure說,這項服務的費用是保證10個虛擬機的安全每月250美元。對于ADS來說是可以承受的。
位于休士頓的另一家云計算基礎設施提供商iland的首席技術官Justin Giardina說,iland在自己的數據中心通過安全公司Alert Logic提供IDS/IPS監視服務已經有一年多時間了。
每個公司除了作為云計算客戶通常都可以得到的按虛擬局域網分段和受防火墻保護的基于VMware的虛擬機配置外,還可以選擇由安全公司Alert Logic從這家安全公司自己的網絡運營中心監視這些虛擬機。
Alert Logic的監視利用基于主機的軟件。這些軟件代表客戶在管理程序層次上運行。Alert Logic IDS/IPS服務可以配置成自動隔離一個網段。例如,如果檢測到問題,這項服務便啟動在思科ASA防火墻中的自動響應功能。
Giardina說,不超過四分之一的iland用戶使用這個Alert Logic監視服務。雖然Alert Logic負責每周7天每天24小時監視虛擬機,并且與消費者有直接的關系,但是,如果發生事故,iland也會參與。
Giardina說,并非每一個人都理解使用補丁的重要性。他指出,黑客和惡意軟件可以造成服務器被攻破,Alert Logic也經常通知iland對這些事件做出反應。
Giardina說,雖然除了Alert Logic提供的服務之外iland目前還沒有增加額外的第三方的安全服務的計劃,但是,iland正在尋求建立自己的殺毒掃描和保護的可能性。這種服務將以即將推出的新版本賽門鐵克軟件為基礎,利用基于VMware的VMsafe API實現管理程序級的監視。
【編輯推薦】
