云计算安全漫谈:看安全架构的优势
云计算已成为众多IT需求的可行模型。在某些情况下,大型企业会按需购买云式CPU周期,使用Amazon、Rackspace和Terremark等供应商提供的“基础设施即服务”(IaaS)进行测试、开发和批处理。其他情况下他们会外包整个应用,如把电子邮件交给Google,CRM交给Salesforce.com,或者把工资单交给ADP。
尽管它的确很有价值,但IT专家们仍然热衷于对云计算的价值进行一场哲学辩论。他们想知道为大众设计的云计算和SaaS是否真正是企业数据中心现场IT设备的可选方案。毕竟,内建式IT设备可提供线速性能并可进行调整以满足一个企业的特定需要。
最近,首席信息安全官们召开了类似的会议,讨论了信息安全需求,特别是与网络安全威胁管理相关的问题。安全专家们考虑了类似的问题:大型企业应该选择企业内部自建安全网关还是将网络安全威胁的管理交给云服务呢?本文件的结论是:
•不管选择哪种解决方案,都要尽快解决网页威胁管理问题。虽然关于企业内部自建与云服务对比的理论思考还在继续,而另一方面网页威胁管理的复杂性也在不断增长。结果,ESG研究表明大型企业在网页威胁管理解决方案上的投资越来越多。
•企业内部自建和云端部署都有其优势和劣势。网页威胁管理网关适用于大型集中式设施,而SaaS则适用于远程办公和经常外出的员工。遗憾的是,大型全球化企业在这些方面都有需求,因此不管是安全网关还是SaaS都无法单独满足其需求。首席信息安全官们想知道他们到底应该选择一个解决方案,还是实施多个供应商的多个解决方案。
•大型全球化企业需要紧密集成的混合式解决方案。通常跨国企业都有大量集中的和分散的员工。这些企业需要一致的策略管理、实施和监督,让雇员不管从网络的哪个位置连接都有很强的安全性。实际上,这正是实施结合了企业内部自建设备控制与云的灵活性的统一混合式网络安全解决方案的最主要原因。采用混合式架构,大型全球化企业不但可以进行集中管理、分布式实施,还能够利用移动、远程和集中的员工云计算社区的“众包”优势。这种结合了两个领域最佳优势的架构将发展成为标准的企业部署。
网页威胁越来越危险
虽然病毒、蠕虫和木马的防御一直都是个难题,但许多首席信息安全官们认为现在的威胁管理更是一天比一天棘手。这是由于大型企业不但要面对传统的攻击载体,还要面对越来越危险的网页威胁。由于以下原因,这方面的情况会越来越糟糕:
•空前的恶意代码量。根据最新的Blue Coat网站报告,网页威胁的数量仅与去年相比就增加了500%以上。此外,恶意代码变种的数量增加了300%以上,而钓鱼攻击增加了600%以上。
•危险的网页内容。近半数恶意代码的威胁目标是网络浏览器,因为许多网页应用程序都很脆弱,很容易受到感染。用户还倾向于相信Google、Yahoo和Bing等高流量站点的网站,而这些网站都受到过攻击并被用于散播恶意代码。Web 2.0是由动态内容驱动的,这是一个新的又难以捉摸的入侵载体。最后,网页威胁可以特定企业或个人为目标,使检测和预防都极其困难。
•社交网络载体。社交网络站点已经迅速成为犯罪的多发地。例如,Zeus僵尸网络在过去的几年里通过Facebook散播了超过150万的钓鱼信息。因此难怪有超过三分之二(77%)在企业机构(超过1000名员工)工作的安全专业人员认为,员工访问社交网络会提高受到复杂攻击的几率
流动性增加。员工经常会使用笔记本、智能手机和平板电脑访问各种企业和消费者网页应用程序。虽然这种流动性可以促进生产率,但它也使管理设备配置、更新安全签名或监控可疑和/或异常行为更加困难。(责任编辑:admin)
- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。