觀點

前瞻應用-嘗試網路隨選服務

2008 / 09 / 05
編輯部
前瞻應用-嘗試網路隨選服務
為了精節的預算及管理上的需求,正驅使著公司為了安全起見,而轉向應用程式平台服務供應商。

它看似異於直覺的動作,但是已簽約的外部服務數量在增加中,這些客戶應用線上服務來保護他們公司內部網路及資料。
像Qualys、 Alert Logic和Google的子公司Postini 這類的供應商,開始導向符合安全即服務,儘管安全專家已經想出要如何不衝擊現有的商業活動,而採用方便的線上服務平台。
這類可訂閱的安全服務,包您監視公司整體的網路流量,有些會瀏覽電子信件,有些監視網路內容。它們都會發佈警訊且如果有立即威脅也會採取行動。
那麼,是什麼原因讓企業儘管已經有內部的防火牆,還要依賴外部的人呢?受限制的IT預算及發展迅速的規章是主要的因素。
Scott Smith,一位在達拉斯Lincoln Property公司的資深網路工程師,他說Lincoln公司因為用了這項服務,就不需要雇用更多的人,來從事監測公司的系統及安全記錄檔。在與安全服務供應商Alert Logic公司簽約之前,不動產管理公司沒有多餘的syslog 伺服器及人員來讀取許多的 log。「是個惡夢,找到你想要尋覓的可能性很渺茫。真是個很困難的任務」Smith說道。
「世上改變最頻繁的就是安全威脅。當我們可以利用外部專家時為什麼還要投資在昂貴的系統上呢?專家讀取log並提供即時的警戒。而且不需很高的費用只有些許的月費,」Smith說。
法令遵從的壓力也驅使公司支持透過訂閱式服務取得安全。Chris Smith,Alert Logic公司市場行銷的副總裁,舉出支付卡產業資料安全標準(PCI DSS)為例,作為支持訂閱服務的主要動因。由主要的信用卡公司推動,這些標準規定使用者必須確實遵從,並且確定因不遵從的罰款金額,每一案例的罰款金額從50萬美金到禁用信用卡。
「不像一些政府的規定可能是很概略性的,PCI的要求是很實務的,」Smith說。「你一定要有防毒軟體、防火牆、入侵偵測,也一定要有週期性的安全掃瞄。」
但是,Qualys公司主要瞄準的對象是大企業客戶,而Alert Logic公司的獲利點更多是在中階市場的企業中,許多的中階市場的企業認為配置內建人員及解決辦法的費用是超出他們的預算之外。
PCI的罰款規定證明了,安全即服務在某一點上是如何的不同於商業應用服務的產品,像是Salesforce.com或NetSuite的。然而成本分析顯示,例如在使用三四年之後,租用方式的CRM費用可能比內建方式的CRM還要高 ,因為這個理由:大浪的落點是無法預料的,所以這樣的計算方式沒有必要被控制在安全範圍內。
「你無法跑一張可以告訴你,因你沒有好好保護你的資料而可能損失多少金額的試算表,」Alert Logic公司的Smith說。有人可能會指出說大量的TJX信用卡外洩是警訊。
在某些情況下,對SaaS(軟體即服務)抱持懷疑的人,不希望他們的資訊存在於網際網路上。 「這些網際網路即時服務供應商,必須將可能的情況及安全資料拉到一個主要的資料中心,」Andrew Plato說,他是Anitian Enterprise Security 公司的總裁,這是一家美國的顧問公司。「那樣的做法導致很多不願將他們的安全資料與其他公司的資料放在一起的客戶失去合作興趣。」
對位在倫敦的化工巨擘ICI公司的全球資訊安全總監Paul Simmonds來說,那樣的恐懼是毫無根據的。大約在五年前ICI公司採用Qualys公司的服務以廢除網路防護的管理及它相關的麻煩事。
「我的資料在他們的資料庫中用我的金鑰加密著。Qualys公司的系統管理甚至無法存取我的資料,」Simmonds說。
另一項好處就是,安全服務可與客戶的現有的基礎建設重疊。ICI公司以及其它的用戶仍然可以繼續使用他們現有的桌上型電腦安全及其它的軟體。「Qualys 公司的服務僅是附加的一部分;我們不需改變我們既有的方式,」Simmonds提到。
對於較小規模的公司而言,可預測到的成本費用概念也誘使他們評估使用安全服務或內建解決方案。增加的訂閱支出並不是很大的經費,不像是那些為了安全監測起見而預先支付的大筆軟硬體採購。
「可預測性對編預算有所幫助。你會知道每年你在硬體、支撐、服務以及維護上將要花多少錢。這樣編預算就幾乎不需動什麼腦筋了,是件很容易的事,」Joey Rappaport說,她是Rosetta Resources石油和天然氣公司IT經理。
Rosetta第一次開始使用Alert Logic公司的設備是在數年前在它的休斯頓總部,並且第二次增加是在它的丹佛點。「費用會上漲唯有當你要增加其它的硬體裝置,」Rappaport說。
但是,Rappaport說驅使她選擇SaaS最大的誘因是,不需要將人員投入於安全及威脅監測這類需要全天候的工作。
Qualys公司CEO Philippe Courtot說網站的本質迫使公司移向安全服務。當公司開啟他們的電子通信線與他們的夥伴、供應商以及顧客更密切合作時,他們的網路必須變得更多孔可滲透的,如此一來保衛周圍的舊策略就不再適用了。
「人們過去習慣一年做一次安全稽核;有錢的就從ISS公司那邊執行掃描裝置。但現在人們了解到,所有這些弱點不僅是存在周圍也存在內部。他們需要徹底瞭解他們的網路,而且使用一套管理解決辦法不再只是講求實用的價值而已,這套管理解決辦法需要你自行安裝且管理,」Courtot 說。
他把Qualys公司是如何聯結它的服務(從外部利用監視內部的設備觀看客戶的網路)比作蘋果電腦公司在另一領域所從事的。
「蘋果電腦將它的iTuenes服務連接到一個設備上,iPod,而且現在更可連接到iPhone,徹底地改變音樂的傳送方式。我們將我們的服務與我們的設備連接起來可查看到你的網路弱點。我們將安全及法規遵從拉在一起,」Courtot說。
Qualys公司是開拓者,但早期有一些競爭對手像是Postini 和Alert Logic。一位新加入的參與者, Veracode公司, 提供一項隨選服務可以發現軟體的弱點。在去年遇到了一陣併購(M&A)風潮的騷動,因為科技巨人及其他人將他們買進:Google搶購Postini而SurfControl則是購買BlackSpider,然後換BlackSpider被Websense所購買。現任的安全相關業者也開始有動作了;McAfee開始它自己的服務且Symantec公司承諾許多服務遞送的功能。
Courtot 主張就像Microsoft與SaaS 模式拔河一樣,因為Microsoft想要保護它賺錢的桌上型軟體生意,安全巨擘不能將他們的商品改成服務模式。
那些巨擘也許意見上會有所分歧。Symantec公司已經允諾做一套基礎設施軟體服務,可從今年到期的新備份服務開始。
Symantec 公司所允諾的網路「將會透過軟體即服務(software-as-a-service)的範例經由瀏覽器傳送到網站,並且透過網站操縱以及管理,」Symantec 公司的產品管理主管Chris Schin說。
Symantec公司最近的併購取得的對象包括了Brightmail,反垃圾郵件服務的領導者,它可援助Symantec公司的服務專業知識。
Alert Logic 公司 的Smith喜歡電話答錄機的比喻。「現在有多少人還在使用電話答錄機或電話公司的語音留言服務?」那是將離線的主要基礎設施導向供應商的絕佳例子。 那些服務能做機器無法做到的事,比如說是將你的訊息放到Web伺服器上去,」他提到。
明顯地,更多大小規模的公司都明白這是合理的想法,至少在做安全服務模式投資之前要進行謹慎的調查研究。
在7月的一篇報告中,Credit Suisse 認為安全隨選模式正開始在中小企業(SMBs)及公司尋找利機。「我們預期這個趨勢在來年會加速,因為客戶現在開始偏愛從隨選的解決辦法中獲得更高的成本節約,」Credit Suisse 研究分析員Phillip Winslow 和Dennis Simson 寫道。
「當我們可以利用外部專家時,為什麼還要投資在昂貴的內部系統上呢?」Lincoln Property公司 Scott Smith。