SaaS安全服務(wù)正趨于成熟

申請免費(fèi)試用、咨詢電話：400-8352-114

成為一種新的商業(yè)模式

總部設(shè)于倫敦的染料和化工廠商帝國化學(xué)工業(yè)組織（Imperial Chemical Industries，ICI）目前正在采用SaaS的應(yīng)用模式，他們選擇將自己的IT系統(tǒng)防御基礎(chǔ)設(shè)施的重要部分外包出去。該公司的一位官員表示:“面對遍布全球的業(yè)務(wù)和每年6000萬美元的研發(fā)預(yù)算，ICI公司用于資產(chǎn)和數(shù)據(jù)安全防護(hù)方面的投入越來越多。而這種基于SaaS模式的安全服務(wù)具有交易過程簡單、風(fēng)險(xiǎn)低、零維護(hù)、即買即用等優(yōu)點(diǎn)，同時(shí)也避免了因安全產(chǎn)品功能不適用而造成的投資浪費(fèi)，所以非常適合我們?！?/FONT>

ICI公司在一些領(lǐng)域選擇了SaaS的應(yīng)用模式，包括Qualys公司的漏洞掃描工具以及Message Labs的電子郵件和防垃圾郵件過濾工具?！艾F(xiàn)在，SaaS模式在全球取得的成功令人矚目，而我們也仍然在摸索SaaS安全服務(wù)技術(shù)的適用點(diǎn)，SaaS可能更適合于部署在IT設(shè)施集中的地方，這樣能取得很好的成效。”ICI全球信息安全總監(jiān)Paul Simmonds表示。“隨著時(shí)間的推移，我們發(fā)現(xiàn)適合SaaS的地方往往偏重于成本和管理效率?！?/FONT>

ICI使用Qualys漏洞掃描服務(wù)已經(jīng)有5年多的時(shí)間了，并在逐步以基于訂閱的服務(wù)來替代一些內(nèi)部部署的安全工具?，F(xiàn)在，ICI公司正在構(gòu)想集成多種SaaS技術(shù)來將其大部分安全基礎(chǔ)設(shè)施外包出去。在這種想法的指導(dǎo)下，他們正在考慮使用Veracode所提供的主機(jī)型二進(jìn)制代碼掃描工具，相信，這又會是一次嶄新的開端。

ICI公司的這位主管表示：“這5年在SaaS安全服務(wù)方面的使用經(jīng)驗(yàn)，讓我們正在考慮采用其長期的服務(wù)支持;當(dāng)然，盡管采用SaaS服務(wù)存在諸多優(yōu)勢，但某些網(wǎng)絡(luò)和數(shù)據(jù)安全因素仍然是我們必須認(rèn)真對待的?！?/FONT>

“結(jié)合使用Qualys的外包漏洞分析和Veracode的二進(jìn)制代碼分析可能會帶來比較好的效果。根據(jù)其通過測試時(shí)運(yùn)行的樣本來看，它真正的好處正是在于一次性集中完成任務(wù)?！盨immonds表示，“這種掃描工作要是由企業(yè)自身完成將是非常復(fù)雜的，因而這意味著巨大的商機(jī)。”

不過，Simmonds也表示：“凡事有利必有弊，你必須有選擇地采用這種服務(wù)。有些部分是自然契合的，但其他部分可能將永遠(yuǎn)都不適合這種模式?！碑?dāng)然，任何類似于SaaS的技術(shù)在成為一種行業(yè)趨勢時(shí)，往往都會存在一定的不安全性。一個(gè)有說服力的例子就是當(dāng)前的安全設(shè)備市場已經(jīng)過于極端化了。

對此，ICI的這位安全主管表示：“NAC系統(tǒng)以及數(shù)據(jù)漏洞防護(hù)軟件等面向端點(diǎn)的產(chǎn)品都是新興的安全工具，這些技術(shù)都是不可能通過SaaS提供的?！钡请S著各種SaaS安全方案的逐步上市，這家化工業(yè)巨頭還將會繼續(xù)尋找新的SaaS安全解決方案。

SaaS安全服務(wù)增速

現(xiàn)在，SaaS安全服務(wù)的企業(yè)客戶中包括了很多大型企業(yè)，此外，也有很多中小型企業(yè)從中受益匪淺。Qualys公司的首席執(zhí)行官Philippe Courtot認(rèn)為：“SaaS安全服務(wù)正在從新興模式快速成長為被廣泛采用的商業(yè)模式?！?/FONT>

“在2001年，當(dāng)我們討論這個(gè)問題時(shí)，沒有一個(gè)人支持企業(yè)采用SaaS; 但現(xiàn)在，我們已經(jīng)渡過了需要向企業(yè)宣傳SaaS安全服務(wù)的時(shí)期，SaaS正在逐漸得到普及?！盋ourtot表示，“這一方面是由于人們往往沒有足夠的技術(shù)和財(cái)力資源來部署傳統(tǒng)的安全方案; 另一方面是因?yàn)槠髽I(yè)有降低成本并更好地做好企業(yè)運(yùn)營的安全防護(hù)工作的需求，而所有這些都可以在SaaS安全服務(wù)的幫助下做到。”

Courtot舉了一個(gè)SaaS安全服務(wù)的例子: 我們近期幫助一家跨國汽車制造商進(jìn)行了SaaS安全服務(wù)的部署，為其在65個(gè)國家所運(yùn)行的180種不同應(yīng)用進(jìn)行漏洞測試，用了不到3個(gè)月的時(shí)間就完成了這項(xiàng)任務(wù)。如果是用內(nèi)部部署安全工具的方式來完成同樣的工作，可能需要花費(fèi)數(shù)年的時(shí)間。

推動(dòng)SaaS安全服務(wù)技術(shù)進(jìn)步的原因可能包括以下兩點(diǎn)：在低端市場，企業(yè)沒有足夠的IT人員來進(jìn)行安全操作；在高端市場，CIO們正承受著降低成本和減少安全事故的壓力。

“過去，你要有安全人員來做好邊界防護(hù)工作，自身還要能創(chuàng)建所需的基礎(chǔ)架構(gòu)。”他表示，“而一旦你想從內(nèi)部提供措施保護(hù)企業(yè)，就需要提供深層防御，其困難程度即便是最先進(jìn)的大型企業(yè)也是力所不及的?！?/FONT>

其他的SaaS倡導(dǎo)者認(rèn)為，SaaS模式的定價(jià)和其提供的優(yōu)勢才是SaaS工具得以被人們繼續(xù)采用的驅(qū)動(dòng)因素。

Veracode公司CEO Matt Moynahan就表示:“我們公司的二進(jìn)制代碼分析服務(wù)的最大賣點(diǎn)就在于客戶僅需支付使用其主機(jī)型測試引擎進(jìn)行測試的費(fèi)用，而其后持續(xù)進(jìn)行的服務(wù)升級都將是免費(fèi)的?！?/FONT>

“我們正嘗試模糊定價(jià)模式的界線，我們大部分的競爭對手或是按掃描的代碼行數(shù)量收費(fèi)，或是按每臺CPU收費(fèi)?！彼硎荆暗覀冊试S企業(yè)給我們一個(gè)二進(jìn)制代碼所在的URL，然后我們只對給定的URL進(jìn)行測試。該過程中所進(jìn)行的掃描或測試都不再單獨(dú)收費(fèi)，因?yàn)檫@些都是定制服務(wù)中的組成部分?！?/FONT>

2007年1月，Veracode公布了已經(jīng)簽約的幾個(gè)主要客戶。據(jù)估計(jì)，這是由于SaaS模式允許企業(yè)提供比競爭對手更低的產(chǎn)品價(jià)格。

現(xiàn)在，安全軟件市場領(lǐng)跑者賽門鐵克也宣布，開始為公司幾乎每一款產(chǎn)品創(chuàng)建SaaS模塊。作為安全巨頭的賽門鐵克采取這次轉(zhuǎn)變有兩大原因: 一是來自現(xiàn)有客戶的反饋; 二是未來幾年將是SaaS發(fā)展的最佳時(shí)機(jī)。正如賽門鐵克產(chǎn)品管理總監(jiān)Chris Schin所說:“任何像SaaS這種技術(shù)的演變都有其先行者，一旦有足夠證據(jù)顯示其優(yōu)勢，就會得到人們更廣泛的采用。而一直以來，我們都看到了各種規(guī)模的企業(yè)都能從SaaS中獲益?！?/FONT>

“我想，對于某些企業(yè)來說，現(xiàn)在還不是采用SaaS來提供端點(diǎn)安全防護(hù)和掃描的最好時(shí)機(jī)，而某些企業(yè)則可能永遠(yuǎn)不能接受這種模式?！彼硎?“但我認(rèn)為，到一定時(shí)刻，所有企業(yè)至少都會考慮在某些操作中應(yīng)用SaaS，這個(gè)時(shí)刻可能不久就會到來。相對于其他一些大肆宣傳炒作的技術(shù)而言，SaaS的承諾貌似背道而馳，但其使用率的增長速度看起來卻正在不斷加快?！?/FONT>

SaaS安全服務(wù)是一種使用互聯(lián)網(wǎng)資源提供在線租用SaaS模式的安全應(yīng)用服務(wù)，企業(yè)無需再購買專業(yè)安全產(chǎn)品，也無需聘請專業(yè)安全人員來管理及維護(hù)應(yīng)用系統(tǒng)，只需要支付一些租用費(fèi)就可在互聯(lián)網(wǎng)上享受基于專業(yè)安全產(chǎn)品和技術(shù)、由專業(yè)安全人員提供支持的高質(zhì)量安全服務(wù)。(ccw)