说一说：SaaS及云计算漏洞管理厂商如何选？

yizhongqiao

中国ID圈73报道：随着安全行业的众多厂商慢慢转型成为托管安全服务供应商一个特定的应用领域也逐渐成为了主流即：通过云计算软件即服务交付的漏洞管理。目一些厂商也已提供了基于云计算的漏洞扫描和修复工具这些产品迅速地占据了市场份额。在本文中我们将首先探讨下使用基于云计算的漏洞管理服务是否是你的企业的正确选择然后将提供一些标准来帮助你选择供应商最后还会介绍一个用于云计算扫描的DIY方法。人工智能提供概率图模型、深度学习等数据算法方面支持，区块链提供价值交换和智能合约支持。将监控部署紧密的结合起来，目前来看，大数据与云计算融合得最为深入，人工智能为当前的发力点，物联网和区块链已有少量服务商开始布局，但整体上看仍为蓄势待发状态。

软件即服务基于云计算的漏洞管理服务是否适合你的企业？

当你考虑实施软件即服务SS漏洞管理的产品或服务时你可能需要花一点时间来确认下你已开发和归档的业务是否适合迁往云计算。具体的理由可能各不相同但是很多企业所提出的共同的优点却是相同的其中包括：

成本节省基于云计算的漏洞管理服务有时候能够通过降低你的总支出、取代你的组合扫描软硬件成本以及度使用许可费来为你实现更低的直接成本。在几乎所有的情况下云计算服务能够通过减少你的员工必须花在安装和配置系统上的时间来降低你的非直接成本。

易于更新升级使用SS方法就能够实现自动更新升级。通常情况下供应商只需按照预定的计划简单地为产品打补丁而所有的客户就能够几乎立即进行应用程序错误补丁和新功能的升级。与之类似漏洞特征库的升级也是能够实时完成的。

附加的角度组合使用基于云计算的扫描程序和托管设备将为你的数据处理带来额外的安全信息。除了查看你自己络中的漏洞你还能通过托管在供应商数据中心的扫描程序查看你的系统暴露在互联中的安全情况。

但是这是一个鱼与熊掌不可兼得的命题：当你采用基于云计算方法时你就必须放弃一定程度的控制权。你不再需要访问底层操作系统而最重要的是你可能再也无法控制应用程序更新。面对这样一个可能对你的业务流程产生负面影响的增强型功能你可能根本没有选择的余地。

SS及云计算漏洞管理厂商如何选？

当对供应商进行评估时首先应确定他们所提供的系统能够以合理的成本满足你的基本业务需求。其次请特别关注服务水平协议尤其是其中关于正常运行时间和零时差攻击特征可用性等方面的条款。此外你还需花一些时间对系统的报告和整治跟踪的能力进行认真评估。

DIY云计算漏洞扫描

如果你还没有做好完全实施基于云计算漏洞管理的准备工作那么你还是不妨考虑为你的扫描环境增加一个基于云计算角度的可行性方法。很多漏洞管理系统供应商都提供了扫描节点作为虚拟设备或纯软件产品。假设在诸如A络服务EC2云计算这样的环境中能够简便地创建虚拟机服务那么你可能需要在云计算中部署一个额外的扫描程序。然后这个扫描程序就能够与你的现有管理平台集成从云计算角度为你提供扫描结果。

那些还没有部署任何漏洞扫描功能的企业可能还希望寻找到可完全建立在云计算环境中的免费或低成本方法。例如开源漏洞扫描程序OVAS就能够被方便的设置在云计算中。如果你正在寻找更好的服务那么你可以考虑N；虽然它不再是免费的但是它提供了专业的F服务而使用许可费为1500美。

漏洞管理是试水云计算安全服务的一个好方向。你可以以较少的初期投入从云计算漏洞扫描开始并从这些系统所提供的额外角度和管理成本降低中实现显著的收益。

作者简介：

M C博士、CISA、CISSP他是N D大学的IT安全经理。他曾担任过美国国家安全局和美国空军的信息安全研究员。C经常为SS撰文并作为其企业合规性、框架和标准专家栏目的常驻专家。他之是络安全现场专家目是《信息安全》杂志的技术编辑和多篇信息安全著作的作者其中包括CISSP认证考试指南和信息安全照明。