云时代的最佳安全架构.docVIP

云时代的最佳安全架构 Enterprise Strategy Group（ESG）高级首席分析师Jon Oltsik近日撰文表示，企业内部自建的和云解决方案都有许多优势，但任何一种都不会提供完全的覆盖。聪明的首席信息安全官不会只从这两种方案中选择一种，而是寻找能够同时提供两者优势的混合式解决方案。最佳的混合方式应该是结合集中化管理和分布式实施的紧密集成的架构。　　云计算已成为众多 IT 需求的可行模型。在某些情况下，大型企业会按需购买云式 CPU 周期，使用 Amazon、Rackspace 和 Terremark 等供应商提供的“基础设施即服务”(IaaS) 进行测试、开发和批处理。其他情况下他们会外包整个应用，如把电子邮件交给 Google，CRM 交给 S，或者把工资单交给 ADP。 　　尽管它的确很有价值，但 IT 专家们仍然热衷于对云计算的价值进行一场哲学辩论。他们想知道为大众设计的云计算和 SaaS 是否真正是企业数据中心现场 IT 设备的可选方案。毕竟，内建式 IT 设备可提供线速性能并可进行调整以满足一个企业的特定需要。 　　最近，首席信息安全官们召开了类似的会议，讨论了信息安全需求，特别是与网络安全威胁管理相关的问题。安全专家们考虑了类似的问题：大型企业应该选择企业内部自建安全网关还是将网络安全威胁的管理交给云服务呢？本文件的结论是： 　? 不管选择哪种解决方案，都要尽快解决网页威胁管理问题。 虽然关于企业内部自建与云服务对比的理论思考还在继续，而另一方面网页威胁管理的复杂性也在不断在增长。结果，ESG 研究表明大型企业在网页威胁管理解决方案上的投资越来越多。 　　企业内部自建和云端部署都有其优势和劣势。网页威胁管理网关适用于大型集中式设施，而 SaaS 则适用于远程办公和经常外出的员工。遗憾的是，大型全球化企业在这些方面都有需求，因此不管是安全网关还是 SaaS 都无法单独满足其需求。首席信息安全官们想知道他们到底应该选择一个解决方案，还是实施多个供应商的多个解决方案。 　　大型全球化企业需要紧密集成的混合式解决方案。 通常跨国企业都有大量集中的和分散的员工。这些企业需要一致的策略管理、实施和监督，让雇员不管从网络的哪个位置连接都有很强的安全性。实际上，这正是实施结合了企业内部自建设备控制与云的灵活性的统一混合式网络安全解决方案的最主要原因。采用混合式架构，大型全球化企业不但可以进行集中管理、分布式实施，还能够利用移动、远程和集中的员工云计算社区的“众包”优势。这种结合了两个领域最佳优势的架构将发展成为标准的企业部署。 　　网页威胁越来越危险 　　虽然病毒、蠕虫和木马的防御一直都是个难题，但许多首席信息安全官们认为现在的威胁管理更是一天比一天棘手。这是由于大型企业不但要面对传统的攻击载体，还要面对越来越危险的网页威胁。由于以下原因，这方面的情况会越来越糟糕： 空前的恶意代码量。 根据最新的 Blue Coat 网站报告，网页威胁的数量仅与去年相比就增加了 500%以上。此外，恶意代码变种的数量增加了 300% 以上，而钓鱼攻击增加了 600% 以上。(/郑州化妆学校 　　危险的网页内容。 近半数恶意代码的威胁目标是网络浏览器，因为许多网页应用程序都很脆弱，很容易受到感染。用户还倾向于相信 Google、Yahoo 和 Bing 等高流量站点的网站，而这些网站都受到过攻击并被用于散播恶意代码。Web 2.0 是由动态内容驱动的，这是一个新的又难以捉摸的入侵载体。最后，网页威胁可以特定企业或个人为目标，使检测和预防都极其困难。 　　社交网络载体。社交网络站点已经迅速成为犯罪的多发地。例如，Zeus 僵尸网络在过去的几年里通过 Facebook 散播了超过 150 万的钓鱼信息。因此难怪有超过三分之二 (77%) 在企业机构(超过 1000名员工)工作的安全专业人员认为，员工访问社交网络会提高受到复杂攻击的几率(见 图 1) 　　图 1.相信社交网络站点会提高受到 APT 攻击的几率 　　来源：Enterprise Strategy Group，2011 年。 　　流动性增加。 员工经常会使用笔记本、智能手机和平板电脑访问各种企业和消费者网页应用程序。虽然这种流动性可以促进生产率，但它也使管理设备配置、更新安全签名或监控可疑和/或异常行为更加困难。 　　大型企业都在对网页威胁管理进行投资 　　维基百科对“网络威胁”的定义如下： 　　“网页威胁是使用互联网促成网络犯罪的任何威胁。网页威胁中会使用各种恶意软件和欺诈手段，所有这些都使用 HTTP 或 HTTPS 协议，但也可能利用了其他协议和组件，如电子邮件或即时消息中的链接，或恶意软件的附件或在访问网络的服务器上。它们帮助网络罪犯们偷窃信息后出售，并将感染的计算机吸