saas及云計算漏洞管理廠商如何選
2015-07-24 閱讀數(shù):2765
隨著安全行業(yè)的眾多廠商慢慢轉型成為托管安全服務供應商���,一個特定的應用領域也逐漸成為了主流����,即:通過云計算軟件即服務交付的漏洞管理。目前��,一些廠商也已提供了基于云計算的漏洞掃描和修復工具,這些產(chǎn)品迅速地占據(jù)了市場份額���。在本文中��,我們將首先探討下使用基于云計算的漏洞管理服務是否是你的企業(yè)的正確選擇��,然后將提供一些標準來幫助你選擇供應商��,最后還會介紹一個用于云計算掃描的diy方法�。
軟件即服務���,基于云計算的漏洞管理服務是否適合你的企業(yè)?
當你考慮實施軟件即服務(saas)漏洞管理的產(chǎn)品或服務時��,你可能需要花一點時間來確認下你已開發(fā)和歸檔的業(yè)務是否適合遷往云計算��。具體的理由可能各不相同��,但是很多企業(yè)所提出的共同的優(yōu)點卻是相同的�,其中包括:
成本節(jié)省——基于云計算的漏洞管理服務有時候能夠通過降低你的總支出、取代你的組合掃描軟硬件成本以及年度使用許可費來為你實現(xiàn)更低的直接成本�。在幾乎所有的情況下,云計算服務能夠通過減少你的員工必須花在安裝和配置系統(tǒng)上的時間來降低你的非直接成本���。
易于更新升級——使用saas方法�,就能夠實現(xiàn)自動更新升級。通常情況下�����,供應商只需按照預定的計劃簡單地為產(chǎn)品打補丁�����,而所有的客戶就能夠幾乎立即進行應用程序錯誤補丁和新功能的升級���。與之類似�,漏洞特征庫的升級也是能夠實時完成的�����。
附加的角度——組合使用基于云計算的掃描程序和托管設備將為你的數(shù)據(jù)處理帶來額外的安全信息���。除了查看你自己網(wǎng)絡中的漏洞�����,你還能通過托管在供應商數(shù)據(jù)中心的掃描程序查看你的系統(tǒng)暴露在互聯(lián)網(wǎng)中的安全情況�����。
但是��,這是一個魚與熊掌不可兼得的命題:當你采用基于云計算方法時���,你就必須放棄一定程度的控制權���。你不再需要訪問底層操作系統(tǒng),而最重要的是��,你可能再也無法控制應用程序更新��。面對這樣一個可能對你的業(yè)務流程產(chǎn)生負面影響的“增強型功能”�����,你可能根本沒有選擇的余地�。
saas及云計算漏洞管理廠商如何選���?
當對供應商進行評估時���,首先應確定他們所提供的系統(tǒng)能夠以合理的成本滿足你的基本業(yè)務需求���。其次,請?zhí)貏e關注服務水平協(xié)議�,尤其是其中關于正常運行時間和零時差攻擊特征可用性等方面的條款。此外�����,你還需花一些時間對系統(tǒng)的報告和整治跟蹤的能力進行認真評估���。
diy云計算漏洞掃描
如果你還沒有做好完全實施基于云計算漏洞管理的準備工作����,那么你還是不妨考慮為你的掃描環(huán)境增加一個基于云計算角度的可行性方法�����。很多漏洞管理系統(tǒng)供應商都提供了掃描節(jié)點作為虛擬設備或純軟件產(chǎn)品�����。假設在諸如amazon網(wǎng)絡服務ec2云計算這樣的環(huán)境中能夠簡便地創(chuàng)建虛擬機服務�,那么你可能需要在云計算中部署一個額外的掃描程序。然后��,這個掃描程序就能夠與你的現(xiàn)有管理平臺集成,從云計算角度為你提供掃描結果���。
那些還沒有部署任何漏洞掃描功能的企業(yè)可能還希望尋找到可完全建立在云計算環(huán)境中的免費或低成本方法�。 例如�,開源漏洞掃描程序openvas就能夠被方便的設置在云計算中。如果你正在尋找更好的服務����,那么你可以考慮nessus;雖然它不再是免費的����,但是它提供了專業(yè)的feed服務,而年使用許可費為1500美元�����。
漏洞管理是試水云計算安全服務的一個好方向����。你可以以較少的初期投入從云計算漏洞掃描開始�����,并從這些系統(tǒng)所提供的額外角度和管理成本降低中實現(xiàn)顯著的收益。
