SaaS安全服務(wù)正趨于成熟

申請免費試用、咨詢電話：400-8352-114

成為一種新的商業(yè)模式

總部設(shè)于倫敦的染料和化工廠商帝國化學(xué)工業(yè)組織（Imperial Chemical Industries，ICI）目前正在采用SaaS的應(yīng)用模式，他們選擇將自己的IT系統(tǒng)防御基礎(chǔ)設(shè)施的重要部分外包出去。該公司的一位官員表示:“面對遍布全球的業(yè)務(wù)和每年6000萬美元的研發(fā)預(yù)算，ICI公司用于資產(chǎn)和數(shù)據(jù)安全防護方面的投入越來越多。而這種基于SaaS模式的安全服務(wù)具有交易過程簡單、風(fēng)險低、零維護、即買即用等優(yōu)點，同時也避免了因安全產(chǎn)品功能不適用而造成的投資浪費，所以非常適合我們?！?/FONT>

ICI公司在一些領(lǐng)域選擇了SaaS的應(yīng)用模式，包括Qualys公司的漏洞掃描工具以及Message Labs的電子郵件和防垃圾郵件過濾工具?！艾F(xiàn)在，SaaS模式在全球取得的成功令人矚目，而我們也仍然在摸索SaaS安全服務(wù)技術(shù)的適用點，SaaS可能更適合于部署在IT設(shè)施集中的地方，這樣能取得很好的成效?！盜CI全球信息安全總監(jiān)Paul Simmonds表示?！半S著時間的推移，我們發(fā)現(xiàn)適合SaaS的地方往往偏重于成本和管理效率。”

ICI使用Qualys漏洞掃描服務(wù)已經(jīng)有5年多的時間了，并在逐步以基于訂閱的服務(wù)來替代一些內(nèi)部部署的安全工具?，F(xiàn)在，ICI公司正在構(gòu)想集成多種SaaS技術(shù)來將其大部分安全基礎(chǔ)設(shè)施外包出去。在這種想法的指導(dǎo)下，他們正在考慮使用Veracode所提供的主機型二進制代碼掃描工具，相信，這又會是一次嶄新的開端。

ICI公司的這位主管表示：“這5年在SaaS安全服務(wù)方面的使用經(jīng)驗，讓我們正在考慮采用其長期的服務(wù)支持;當(dāng)然，盡管采用SaaS服務(wù)存在諸多優(yōu)勢，但某些網(wǎng)絡(luò)和數(shù)據(jù)安全因素仍然是我們必須認真對待的?！?/FONT>

“結(jié)合使用Qualys的外包漏洞分析和Veracode的二進制代碼分析可能會帶來比較好的效果。根據(jù)其通過測試時運行的樣本來看，它真正的好處正是在于一次性集中完成任務(wù)?！盨immonds表示，“這種掃描工作要是由企業(yè)自身完成將是非常復(fù)雜的，因而這意味著巨大的商機?！?/FONT>

不過，Simmonds也表示：“凡事有利必有弊，你必須有選擇地采用這種服務(wù)。有些部分是自然契合的，但其他部分可能將永遠都不適合這種模式。”當(dāng)然，任何類似于SaaS的技術(shù)在成為一種行業(yè)趨勢時，往往都會存在一定的不安全性。一個有說服力的例子就是當(dāng)前的安全設(shè)備市場已經(jīng)過于極端化了。

對此，ICI的這位安全主管表示：“NAC系統(tǒng)以及數(shù)據(jù)漏洞防護軟件等面向端點的產(chǎn)品都是新興的安全工具，這些技術(shù)都是不可能通過SaaS提供的?！钡请S著各種SaaS安全方案的逐步上市，這家化工業(yè)巨頭還將會繼續(xù)尋找新的SaaS安全解決方案。

SaaS安全服務(wù)增速

現(xiàn)在，SaaS安全服務(wù)的企業(yè)客戶中包括了很多大型企業(yè)，此外，也有很多中小型企業(yè)從中受益匪淺。Qualys公司的首席執(zhí)行官Philippe Courtot認為：“SaaS安全服務(wù)正在從新興模式快速成長為被廣泛采用的商業(yè)模式。”

“在2001年，當(dāng)我們討論這個問題時，沒有一個人支持企業(yè)采用SaaS; 但現(xiàn)在，我們已經(jīng)渡過了需要向企業(yè)宣傳SaaS安全服務(wù)的時期，SaaS正在逐漸得到普及?！盋ourtot表示，“這一方面是由于人們往往沒有足夠的技術(shù)和財力資源來部署傳統(tǒng)的安全方案; 另一方面是因為企業(yè)有降低成本并更好地做好企業(yè)運營的安全防護工作的需求，而所有這些都可以在SaaS安全服務(wù)的幫助下做到?！?/FONT>

Courtot舉了一個SaaS安全服務(wù)的例子: 我們近期幫助一家跨國汽車制造商進行了SaaS安全服務(wù)的部署，為其在65個國家所運行的180種不同應(yīng)用進行漏洞測試，用了不到3個月的時間就完成了這項任務(wù)。如果是用內(nèi)部部署安全工具的方式來完成同樣的工作，可能需要花費數(shù)年的時間。

推動SaaS安全服務(wù)技術(shù)進步的原因可能包括以下兩點：在低端市場，企業(yè)沒有足夠的IT人員來進行安全操作；在高端市場，CIO們正承受著降低成本和減少安全事故的壓力。

“過去，你要有安全人員來做好邊界防護工作，自身還要能創(chuàng)建所需的基礎(chǔ)架構(gòu)?！彼硎?，“而一旦你想從內(nèi)部提供措施保護企業(yè)，就需要提供深層防御，其困難程度即便是最先進的大型企業(yè)也是力所不及的?！?/FONT>

其他的SaaS倡導(dǎo)者認為，SaaS模式的定價和其提供的優(yōu)勢才是SaaS工具得以被人們繼續(xù)采用的驅(qū)動因素。

Veracode公司CEO Matt Moynahan就表示:“我們公司的二進制代碼分析服務(wù)的最大賣點就在于客戶僅需支付使用其主機型測試引擎進行測試的費用，而其后持續(xù)進行的服務(wù)升級都將是免費的?！?/FONT>

“我們正嘗試模糊定價模式的界線，我們大部分的競爭對手或是按掃描的代碼行數(shù)量收費，或是按每臺CPU收費?！彼硎?，“但我們允許企業(yè)給我們一個二進制代碼所在的URL，然后我們只對給定的URL進行測試。該過程中所進行的掃描或測試都不再單獨收費，因為這些都是定制服務(wù)中的組成部分?！?/FONT>

2007年1月，Veracode公布了已經(jīng)簽約的幾個主要客戶。據(jù)估計，這是由于SaaS模式允許企業(yè)提供比競爭對手更低的產(chǎn)品價格。

現(xiàn)在，安全軟件市場領(lǐng)跑者賽門鐵克也宣布，開始為公司幾乎每一款產(chǎn)品創(chuàng)建SaaS模塊。作為安全巨頭的賽門鐵克采取這次轉(zhuǎn)變有兩大原因: 一是來自現(xiàn)有客戶的反饋; 二是未來幾年將是SaaS發(fā)展的最佳時機。正如賽門鐵克產(chǎn)品管理總監(jiān)Chris Schin所說:“任何像SaaS這種技術(shù)的演變都有其先行者，一旦有足夠證據(jù)顯示其優(yōu)勢，就會得到人們更廣泛的采用。而一直以來，我們都看到了各種規(guī)模的企業(yè)都能從SaaS中獲益?！?/FONT>

“我想，對于某些企業(yè)來說，現(xiàn)在還不是采用SaaS來提供端點安全防護和掃描的最好時機，而某些企業(yè)則可能永遠不能接受這種模式。”他表示,“但我認為，到一定時刻，所有企業(yè)至少都會考慮在某些操作中應(yīng)用SaaS，這個時刻可能不久就會到來。相對于其他一些大肆宣傳炒作的技術(shù)而言，SaaS的承諾貌似背道而馳，但其使用率的增長速度看起來卻正在不斷加快?！?/FONT>

SaaS安全服務(wù)是一種使用互聯(lián)網(wǎng)資源提供在線租用SaaS模式的安全應(yīng)用服務(wù)，企業(yè)無需再購買專業(yè)安全產(chǎn)品，也無需聘請專業(yè)安全人員來管理及維護應(yīng)用系統(tǒng)，只需要支付一些租用費就可在互聯(lián)網(wǎng)上享受基于專業(yè)安全產(chǎn)品和技術(shù)、由專業(yè)安全人員提供支持的高質(zhì)量安全服務(wù)。(ccw)