SaaS安全服务正趋于成熟

申请免费试用、咨询电话：400-8352-114

成为一种新的商业模式

总部设于伦敦的染料和化工厂商帝国化学工业组织（Imperial Chemical Industries，ICI）目前正在采用SaaS的应用模式，他们选择将自己的IT系统防御基础设施的重要部分外包出去。该公司的一位官员表示:“面对遍布全球的业务和每年6000万美元的研发预算，ICI公司用于资产和数据安全防护方面的投入越来越多。而这种基于SaaS模式的安全服务具有交易过程简单、风险低、零维护、即买即用等优点，同时也避免了因安全产品功能不适用而造成的投资浪费，所以非常适合我们。”

ICI公司在一些领域选择了SaaS的应用模式，包括Qualys公司的漏洞扫描工具以及Message Labs的电子邮件和防垃圾邮件过滤工具。“现在，SaaS模式在全球取得的成功令人瞩目，而我们也仍然在摸索SaaS安全服务技术的适用点，SaaS可能更适合于部署在IT设施集中的地方，这样能取得很好的成效。”ICI全球信息安全总监Paul Simmonds表示。“随着时间的推移，我们发现适合SaaS的地方往往偏重于成本和管理效率。”

ICI使用Qualys漏洞扫描服务已经有5年多的时间了，并在逐步以基于订阅的服务来替代一些内部部署的安全工具。现在，ICI公司正在构想集成多种SaaS技术来将其大部分安全基础设施外包出去。在这种想法的指导下，他们正在考虑使用Veracode所提供的主机型二进制代码扫描工具，相信，这又会是一次崭新的开端。

ICI公司的这位主管表示：“这5年在SaaS安全服务方面的使用经验，让我们正在考虑采用其长期的服务支持;当然，尽管采用SaaS服务存在诸多优势，但某些网络和数据安全因素仍然是我们必须认真对待的。”

“结合使用Qualys的外包漏洞分析和Veracode的二进制代码分析可能会带来比较好的效果。根据其通过测试时运行的样本来看，它真正的好处正是在于一次性集中完成任务。”Simmonds表示，“这种扫描工作要是由企业自身完成将是非常复杂的，因而这意味着巨大的商机。”

不过，Simmonds也表示：“凡事有利必有弊，你必须有选择地采用这种服务。有些部分是自然契合的，但其他部分可能将永远都不适合这种模式。”当然，任何类似于SaaS的技术在成为一种行业趋势时，往往都会存在一定的不安全性。一个有说服力的例子就是当前的安全设备市场已经过于极端化了。

对此，ICI的这位安全主管表示：“NAC系统以及数据漏洞防护软件等面向端点的产品都是新兴的安全工具，这些技术都是不可能通过SaaS提供的。”但是随着各种SaaS安全方案的逐步上市，这家化工业巨头还将会继续寻找新的SaaS安全解决方案。

SaaS安全服务增速

现在，SaaS安全服务的企业客户中包括了很多大型企业，此外，也有很多中小型企业从中受益匪浅。Qualys公司的首席执行官Philippe Courtot认为：“SaaS安全服务正在从新兴模式快速成长为被广泛采用的商业模式。”

“在2001年，当我们讨论这个问题时，没有一个人支持企业采用SaaS; 但现在，我们已经渡过了需要向企业宣传SaaS安全服务的时期，SaaS正在逐渐得到普及。”Courtot表示，“这一方面是由于人们往往没有足够的技术和财力资源来部署传统的安全方案; 另一方面是因为企业有降低成本并更好地做好企业运营的安全防护工作的需求，而所有这些都可以在SaaS安全服务的帮助下做到。”

Courtot举了一个SaaS安全服务的例子: 我们近期帮助一家跨国汽车制造商进行了SaaS安全服务的部署，为其在65个国家所运行的180种不同应用进行漏洞测试，用了不到3个月的时间就完成了这项任务。如果是用内部部署安全工具的方式来完成同样的工作，可能需要花费数年的时间。

推动SaaS安全服务技术进步的原因可能包括以下两点：在低端市场，企业没有足够的IT人员来进行安全操作；在高端市场，CIO们正承受着降低成本和减少安全事故的压力。

“过去，你要有安全人员来做好边界防护工作，自身还要能创建所需的基础架构。”他表示，“而一旦你想从内部提供措施保护企业，就需要提供深层防御，其困难程度即便是最先进的大型企业也是力所不及的。”

其他的SaaS倡导者认为，SaaS模式的定价和其提供的优势才是SaaS工具得以被人们继续采用的驱动因素。

Veracode公司CEO Matt Moynahan就表示:“我们公司的二进制代码分析服务的最大卖点就在于客户仅需支付使用其主机型测试引擎进行测试的费用，而其后持续进行的服务升级都将是免费的。”

“我们正尝试模糊定价模式的界线，我们大部分的竞争对手或是按扫描的代码行数量收费，或是按每台CPU收费。”他表示，“但我们允许企业给我们一个二进制代码所在的URL，然后我们只对给定的URL进行测试。该过程中所进行的扫描或测试都不再单独收费，因为这些都是定制服务中的组成部分。”

2007年1月，Veracode公布了已经签约的几个主要客户。据估计，这是由于SaaS模式允许企业提供比竞争对手更低的产品价格。

现在，安全软件市场领跑者赛门铁克也宣布，开始为公司几乎每一款产品创建SaaS模块。作为安全巨头的赛门铁克采取这次转变有两大原因: 一是来自现有客户的反馈; 二是未来几年将是SaaS发展的最佳时机。正如赛门铁克产品管理总监Chris Schin所说:“任何像SaaS这种技术的演变都有其先行者，一旦有足够证据显示其优势，就会得到人们更广泛的采用。而一直以来，我们都看到了各种规模的企业都能从SaaS中获益。”

“我想，对于某些企业来说，现在还不是采用SaaS来提供端点安全防护和扫描的最好时机，而某些企业则可能永远不能接受这种模式。”他表示,“但我认为，到一定时刻，所有企业至少都会考虑在某些操作中应用SaaS，这个时刻可能不久就会到来。相对于其他一些大肆宣传炒作的技术而言，SaaS的承诺貌似背道而驰，但其使用率的增长速度看起来却正在不断加快。”

SaaS安全服务是一种使用互联网资源提供在线租用SaaS模式的安全应用服务，企业无需再购买专业安全产品，也无需聘请专业安全人员来管理及维护应用系统，只需要支付一些租用费就可在互联网上享受基于专业安全产品和技术、由专业安全人员提供支持的高质量安全服务。(ccw)