RichardA.Spires是Learning Tree國際公司首席執(zhí)行官，美國國土安全部和美國國稅局前任首席信息官。

[[328722]]

作為一名前首席信息官，Spires已經(jīng)看到了云計算的顯著好處，既可以通過基礎設施即服務(IaaS)和平臺即服務(PaaS)交付模型來實現(xiàn)按需計算的杠桿作用，也可以實現(xiàn)使用軟件即服務(SaaS)應用程序。尤其是，基于SaaS的應用程序越來越成為組織可以快速輕松地利用新應用程序的方式。這正推動著巨大的增長，美國在《創(chuàng)新天使榜》有超過11,000家SaaS初創(chuàng)公司，而IDC公司預測，到2019年，基于SaaS的市場將超過1,120億美元。

IT組織需要開發(fā)一種綜合方法來解決依賴于第三方計算和應用程序帶來的安全挑戰(zhàn)。

盡管云計算和SaaS業(yè)務模型可以使IT組織降低基礎設施成本，并提高支持客戶的敏捷性，但同時也增加了處理IT安全性的復雜性。IT組織不僅放棄了對某些IT基礎設施的控制和可視性，以達到利用基于SaaS的應用程序的程度，而且還讓第三方存儲和控制敏感數(shù)據(jù)。不久之前，IT安全人員將致力于保護組織的IT范圍;使用當今的新計算和服務模型，必須承認傳統(tǒng)的邊界已不存在，或者如果邊界確實存在，則可能包括保護許多第三方云服務和SaaS應用程序提供者。

Spires認為SaaS安全性是雙重挑戰(zhàn)。首先，關于使用第三方IT云服務提供商(以包括更多傳統(tǒng)的外包數(shù)據(jù)中心服務)，組織需要確信這些提供商正在實施應匹配(或至少與之相似)的適當安全控制。他們將在自己的數(shù)據(jù)中心和網(wǎng)絡中實施什么。這些控制范圍從人員的物理訪問，到包括用于系統(tǒng)管理訪問的身份管理和適當?shù)木W(wǎng)絡加密。許多非營利組織一直在為行業(yè)標準化這些控制措施。值得注意的是，云安全聯(lián)盟開發(fā)了Cloud Controls Matrix(CCM)，這是專門為云計算設計的安全控制框架。利用Cloud Controls Matrix，云安全聯(lián)盟為云計算服務提供商開發(fā)了審核、認證和注冊計劃，稱為安全、信任和保證注冊(STAR)。在類似的模型中，美國聯(lián)邦政府開發(fā)了FedRAMP計劃，這是一種云計算服務提供商可以滿足NIST800-53安全控制套件所定義的三個不同級別上的最低安全控制要求的方法。

但是，即使IT安全經(jīng)理相信底層云計算服務提供商的控制套件，對于組織利用SaaS應用程序的情況又如何呢?在這種情況下，敏感數(shù)據(jù)很可能將由第三方存儲和控制，并由組織的客戶或合作伙伴使用，以使數(shù)據(jù)永遠不會與組織的網(wǎng)絡，防火墻或任何其他安全設備或過程控制接觸由組織。作為首席信息官和首席信息安全官，這種情況令人擔憂，因為SaaS應用程序?qū)贸绦蚣捌鋽?shù)據(jù)的安全性幾乎沒有可見性和控制力。因此，第二個挑戰(zhàn)是如何將組織的安全策略和控制擴展到公共云和SaaS應用程序。

這項挑戰(zhàn)引起了所謂的云訪問安全代理(CASB)的關注，這些產(chǎn)品充當位于企業(yè)內(nèi)部或云中并在組織與云計算服務提供商之間邏輯地存在以提供一系列服務的安全實施點。其中包括身份驗證和授權(quán)、設備配置文件、應用程序白名單、加密、警報、惡意軟件檢測等。云訪問安全代理(CASB)市場中的一些領先供應商包括Bitglass、Forcepoint、Cloudlock/Cisco和Skyhigh Networks。云訪問安全代理(CASB)解決方案的使用迅速增長，據(jù)Gartner公司的調(diào)查報告，到2020年，將有85%的大型組織使用云訪問安全代理(CASB)解決方案，而2015年這一比例不到5%。

從積極的方面來看，云訪問安全代理(CASB)供應商具有強大的功能，正在填補市場空白。但是，作為一名前首席信息官，Spires對如何通過繼續(xù)添加工具，然后在內(nèi)部進行集成以解決企業(yè)IT安全性挑戰(zhàn)感到困惑。很少看到這種策略能很好地工作。因此，Spires支持以下觀點：應對企業(yè)IT安全挑戰(zhàn)的優(yōu)秀方法是使用IT安全平臺，該平臺可提供一系列功能來幫助防止(必要時)發(fā)現(xiàn)企業(yè)中的漏洞。在這個市場上，Palo Alto Networks，Cisco和Check Point Software提供了集成的平臺解決方案。

作為平臺價值的一個示例，Palo Alto Networks公司最近將其平臺功能擴展到了云計算解決方案和SaaS應用程序中。特別有趣的(并且在操作上很有吸引力)的是，Spires可以為某種數(shù)據(jù)類型設置其安全控制(例如，根據(jù)數(shù)據(jù)的敏感度來定制控制)，而Palo Alto Networks公司技術(shù)使其能夠在其整個平臺上實施這些策略，無論該數(shù)據(jù)駐留在自己的數(shù)據(jù)中心，外包數(shù)據(jù)中心還是公共云中的SaaS應用程序中。這顯著簡化了整個企業(yè)中安全策略的管理，并提供了高級威脅防護。此外，網(wǎng)絡攻擊者使用的一種日益增長的攻擊目的是通過基于SaaS的應用程序通過惡意軟件感染用戶，因為攻擊者知道大多數(shù)組織都無法像使用內(nèi)部基于應用程序的方式那樣監(jiān)視這些SaaS應用程序。這些平臺的關鍵組成部分是能夠?qū)⑼{檢測和防御功能引入IT基礎設施和應用程序的各個方面的能力，包括駐留在云中的那些方面。

基于SaaS的應用程序的使用正成為為組織快速交付新功能的首選方法。需求來自業(yè)務用戶，因此，IT組織必須接受并計劃SaaS的數(shù)量和用途的持續(xù)擴展。因此，即使用戶和數(shù)據(jù)可能永遠不會穿越組織的網(wǎng)絡或數(shù)據(jù)中心，IT組織也需要開發(fā)一種綜合方法來解決依賴于第三方計算和應用程序帶來的安全挑戰(zhàn)。