云計算已成為眾多 IT 需求的可行模型。在某些情況下，大型企業會按需購買云式 CPU 周期，使用 Amazon、Rackspace 和 Terremark 等供應商提供的“基礎設施即服務”(IaaS) 進行測試、開發和批處理。其他情況下他們會外包整個應用，如把電子郵件交給 Google，CRM 交給 Salesforce.com，或者把工資單交給 ADP。

盡管它的確很有價值，但 IT 專家們仍然熱衷于對云計算的價值進行一場哲學辯論。他們想知道為大眾設計的云計算和 SaaS 是否真正是企業數據中心現場 IT 設備的可選方案。畢竟，內建式 IT 設備可提供線速性能并可進行調整以滿足一個企業的特定需要。

最近，首席信息安全官們召開了類似的會議，討論了信息安全需求，特別是與網絡安全威脅管理相關的問題。安全專家們考慮了類似的問題：大型企業應該選擇企業內部自建安全網關還是將網絡安全威脅的管理交給云服務呢？本文件的結論是：

不管選擇哪種解決方案，都要盡快解決網頁威脅管理問題。 雖然關于企業內部自建與云服務對比的理論思考還在繼續，而另一方面網頁威脅管理的復雜性也在不斷在增長。結果，ESG 研究表明大型企業在網頁威脅管理解決方案上的投資越來越多。

企業內部自建和云端部署都有其優勢和劣勢。網頁威脅管理網關適用于大型集中式設施，而 SaaS 則適用于遠程辦公和經常外出的員工。遺憾的是，大型全球化企業在這些方面都有需求，因此不管是安全網關還是 SaaS 都無法單獨滿足其需求。首席信息安全官們想知道他們到底應該選擇一個解決方案，還是實施多個供應商的多個解決方案。

大型全球化企業需要緊密集成的混合式解決方案。 通�？鐕�企業都有大量集中的和分散的員工。這些企業需要一致的策略管理、實施和監督，讓雇員不管從網絡的哪個位置連接都有很強的安全性。實際上，這正是實施結合了企業內部自建設備控制與云的靈活性的統一混合式網絡安全解決方案的最主要原因。采用混合式架構，大型全球化企業不但可以進行集中管理、分布式實施，還能夠利用移動、遠程和集中的員工云計算社區的“眾包”優勢。這種結合了兩個領域最佳優勢的架構將發展成為標準的企業部署。

網頁威脅越來越危險

雖然病毒、蠕蟲和木馬的防御一直都是個難題，但許多首席信息安全官們認為現在的威脅管理更是一天比一天棘手。這是由于大型企業不但要面對傳統的攻擊載體，還要面對越來越危險的網頁威脅。由于以下原因，這方面的情況會越來越糟糕：

空前的惡意代碼量。 根據最新的 Blue Coat 網站報告，網頁威脅的數量僅與去年相比就增加了 500%以上。此外，惡意代碼變種的數量增加了 300% 以上，而釣魚攻擊增加了 600% 以上。

危險的網頁內容。 近半數惡意代碼的威脅目標是網絡瀏覽器，因為許多網頁應用程序都很脆弱，很容易受到感染。用戶還傾向于相信 Google、Yahoo 和 Bing 等高流量站點的網站，而這些網站都受到過攻擊并被用于散播惡意代碼。Web 2.0 是由動態內容驅動的，這是一個新的又難以捉摸的入侵載體。最后，網頁威脅可以特定企業或個人為目標，使檢測和預防都極其困難。

社交網絡載體。社交網絡站點已經迅速成為犯罪的多發地。例如，Zeus 僵尸網絡在過去的幾年里通過 Facebook 散播了超過 150 萬的釣魚信息。因此難怪有超過三分之二 (77%) 在企業機構(超過 1000名員工)工作的安全專業人員認為，員工訪問社交網絡會提高受到復雜攻擊的幾率(見 圖 1)

　　圖 1.相信社交網絡站點會提高受到 APT 攻擊的幾率

 

　　來源：Enterprise Strategy Group，2011 年。

流動性增加。 員工經常會使用筆記本、智能手機和平板電腦訪問各種企業和消費者網頁應用程序。雖然這種流動性可以促進生產率，但它也使管理設備配置、更新安全簽名或監控可疑和/或異常行為更加困難。

大型企業都在對網頁威脅管理進行投資

維基百科對“網絡威脅”的定義如下：

“網頁威脅是使用互聯網促成網絡犯罪的任何威脅。網頁威脅中會使用各種惡意軟件和欺詐手段，所有這些都使用 HTTP 或 HTTPS 協議，但也可能利用了其他協議和組件，如電子郵件或即時消息中的鏈接，或惡意軟件的附件或在訪問網絡的服務器上。它們幫助網絡罪犯們偷竊信息后出售，并將感染的計算機吸收到僵尸網絡。

　　網頁威脅會帶來一系列風險，包括經濟損失、身份被盜、丟失機密信息/數據、偷竊網絡資源、損壞品牌/個人聲譽，以及破壞消費者對電子商務和在線銀行的信任。

　　鑒于網頁威脅的普遍性、數量和增長，首席信息安全官們不斷在特定網絡安全防護方面投資。這在最近的ESG 研究中有相關說明。近三分之一的企業說過他們將在 2011 年投資對網頁安全給予投資(見圖 2)

　　圖 2. 大型企業將投資網頁安全

 

　　來源：Enterprise Strategy Group，2011 年

哪種網頁威脅管理模式是最好的？

首席信息安全官們在尋找網頁威脅管理技術保障時，經常遇到大量令人難以決定的選擇。在供應商夸張的宣傳中，許多安全執行官還面臨一個新的抉擇：他們是應該購買并實施傳統的網關安全解決方案呢，還是放棄企業內部自建解決方案而選擇 SaaS 云服務？

網頁威脅管理網關非常適合大型且集中的企業

網頁威脅管理網關位于網絡進出點，可過濾和阻止惡意網頁內容，如釣魚漏洞、病毒、蠕蟲、木馬和僵尸網絡等。為了保持防護功能，安全供應商經常需要在出現新惡意軟件威脅時定期更新網頁威脅管理網關的規則和簽名。

過去，大型企業通常會選擇企業內部自建的網頁威脅管理網關。這些傳統的“壁壘服務器”有如下一些優點：

高性能。 網關應用以“線速”運行，延遲時間最短，對網絡性能的影響最小。有企業級的 IT、 網絡和安全技術的大型企業很容易就可以實施并調整網關安全設備，使其能夠為上千需要網絡 的員工提供強大的安全防護而不會帶來任何負面影響。

可自定義的策略管理和實施。 企業在監管、產業特定威脅和內部治理方面有各種各樣的安全需求。為滿足這些不同的需求，許多網關網頁威脅管理設備都為策略管理和安全防范提供詳細設置。這樣，企業便可以根據特定用戶、組、位置或一天中某段時間的特定需求來設置網頁威脅管理網關，從而執行安全策略規則。

中央命令和控制。 因有多個機構或駐地而有多個網絡進出點的大型企業可能需要多個網頁威脅管理網關。為滿足這種需求，先進的網頁威脅管理網關可對多個設備進行集中的命令和控制。這樣，首席信息安全官們可對多個網頁威脅管理網關設備實施統一的策略，或根據特定需求設置某個設備。

集成其他安全功能。 在許多情況下，網頁威脅管理還可在高性能安全網關上結合其他安全應用，如DLP、反病毒或 URL 過濾。這樣大型企業就可以使用標準化的單一安全設備來降低成本、簡化日常維護并集中進行維護和支持。集成的安全設備還可以通過關聯事件和合并報告來提高整體安全性。

云技術網頁威脅管理適合分布式企業

網頁威脅管理網關最適合位于同一地點的數個機構的數千員工訪問網絡的大型集中企業。但在當今的全球商業環境下，許多企業具有高度分散的特質，經常有在分支辦公室、遠程甚至路上辦公的移動員工。在過去幾年里，越來越多的安全供應商采用了 SaaS 或云技術交付模式作為傳統網關設備的補充。分布式企業可利用使用云技術交付模式的網頁威脅管理，這種交付模式有以下優點：

部署和操作簡單。 SaaS 是一種“總承包”式解決方案，無需購買、測試、部署或管理新設備。通過網頁威脅管理服務，只需將所有網絡進出流量路由到云端 IP 地址，然后所有網頁威脅管理策略就在遠程得到了執行。

有效且高效的防護。 由于云供應商是為大眾設計的這種解決方案，因此 SaaS 解決方案主要針對最常見的攻擊類型提供充分的防護。就網頁威脅管理來說，這意味著這種云端服務會阻止惡意 URL 和內容、釣魚網站和已知的惡意軟件分發服務器�？梢哉J為云端網頁威脅管理服務一種 80/20 法則的體現。它們可能不會提供企業內部自建網關那樣的自定義設置或安全集成，但它們能夠對常見網頁威脅提供有效且高效的防護。

支持遠程辦公室和移動工作者。 根據最近的研究，ESG 認為在遠程和分部工作的員工比集中工作的員工有更大的安全隱患，特別是在計算機配置管理、終端用戶培訓和監測遠程員工對敏感數據的使用方面3。這些有數十員工的遠程辦公室需要網頁威脅管理，但由于在每個遠程機構都部署網關設備在經濟上或技術上是不可行的，于是云端服務這時便特別有吸引力。移動的工作者很少會在“防火墻后面”。因此，網關應用是無法在這方面提供任何防護的，而 SaaS 就成了理想的選擇。

由于“網絡效應”和“眾包”的作用，云端安全服務還有一種潛在的安全優勢。在這種模式下，所有云客戶都是一名情報員，當他們發現了新攻擊方式(如之前未發現的惡意代碼或受到攻擊的網址)時就會向云端報告。確定新的攻擊后，云端安全社區中的所有其他人都能夠受到保護。

　　圖 3. 滿足遠程辦公室/分支機構需求時面臨的安全問題

 

　　來源：Enterprise Strategy Group，2011 年。

大型全球性企業需要混合式安全架構

部分企業傾向于根據單一決策點 - 企業是集中化企業還是分布式企業 - 來選擇應用企業內部自建的網頁威脅管理網關還是 SaaS 解決方案。但是許多全球性企業有分散的集中式駐地和許多遠程辦公室和移動工作者。那么他們應該選擇企業內部自建設備還是云端服務，還兩種解決方案都選呢？

很明顯的是，大型全球性企業需要能夠為所有員工和 IT 資產提供防護的網頁威脅管理解決方案，不管他們位于數據中心還是遠程辦公室，還是通過公共網絡訪問應用程序。遺憾的是，這意味著要實施多家供應商的多個解決方案，為企業網絡建立企業內部解決方案，同時為遠程辦公室和移動員工提供云端服務。是的，多個解決方案確實可以提供覆蓋范圍和防護，但這也會導致高成本和冗余的操作。

因此這里需要的應該是一種混合式架構，要結合現場設備的性能和管理優勢，還要結合云端服務的靈活性和覆蓋范圍(見圖 4)。

　　圖 4. 混合式安全架構

 

　　來源：Enterprise Strategy Group，2011 年。

為滿足大型全球性企業的需求混合式網頁威脅管理架構必須包含：

集中化的管理和分布式的實施。 混合式網頁威脅管理架構可提供一致的策略管理和安全防范，而不論這些活動發生于企業設備內還是在云端。設備和云端服務可通過統一的圖形用戶界面進行管理，而報表則可定制為提供整個企業的視圖(如企業內部自建設備和云端服務的綜合視圖)，或為各個分支地點提供統一的視圖。

以云端為中心的智能。 威脅智能以云技術為堅實的基礎，而用戶和企業內部自建設備則通過如上文所述的眾包作用貢獻力量。可通過對企業內部自建設備的實時更新立即解決新威脅。

緊密集成。 企業內部自建和云端管理和實施可根據情況靈活應用。此外，混合式威脅管理架構還能夠根據未來的各種需求隨時擴展。例如，可通過 DLP 功能加強網頁威脅管理，防范網絡進入點的惡意代碼攻擊和網絡出口的數據泄漏。

混合式網頁威脅管理具有靈活而即時的安全優勢

ESG 認為混合式架構可同時提供短期和長期的優勢，而且幾乎立即見效�；旌鲜骄W絡安全架構可提供這些優勢的原因是：

改善了遠程工作者的安全性。 根據 ESG 研究，遠程辦公室的 IT 支持面臨諸多安全問題，包括網頁威脅管理(見圖 3)。而且移動工作者同樣有這些安全問題。混合式網頁威脅管理架構可提供簡潔而有效的解決方案，因為它減少了部署新設備或一次性SaaS 安全服務的需求。而且，首席信息安全官們可利用集中的 IT 安全技術和一流的網絡安全工具來實現地毯式覆蓋，無論員工的地理或網絡位置在哪。結果？即時的安全改善，直接解決了 ESG 研究報告中發現的一些問題。

提供全局可見性和控制能力以迅速發現并解決問題。 由于現在 APT 等網絡攻擊已經非常成熟，一個設備受到攻擊就會造成嚴重的數據泄露。要解決這個風險就要對所有設備和活動進行監控。由于混合式網頁威脅管理架構能夠提供集中的命令與控制、策略管理和報告，首席信息安全官們可以了解并監督所有設備以及在整個網絡中的安全防范活動。這種可見性和控制能力可加快問題發現和解決的速度。

創建一個云遷移路徑。 混合式網頁威脅管理架構結合了企業內部自建設備和云的優勢。這可以提供全面的覆蓋范圍。但有些企業可能希望慢慢地將網絡和其他威脅管理工作都交給云端，特別是在云安全服務成熟之后�；旌鲜骄W頁威脅管理架構提供了靈活的安全遷移路徑。首席信息安全官們可以方便地調整網絡設置、將網絡設備更換為云服務，并在云經濟和安全技術成熟時利用這方面的優勢。

更重要的事實

云計算和 SaaS 通常表現為一對與傳統 IT 解決方案對立的選項 - 或者你自己做，或者你完全放手不管。這是一種令人遺憾的想法，完全忽視了“混合云”的整體概念。雖然現在極少有公司將應用程序的工作交給云服務，但將來這會成為容量規劃、業務連持續性和災難恢復的標準方法。

同樣的觀念也應該應用到更精細的 IT 要求上，如網頁威脅管理。企業內部自建的和云解決方案都有許多優勢，但任何一種都不會提供完全的覆蓋。聰明的首席信息安全官不會只從這兩種方案中選擇一種，而是尋找能夠同時提供兩者優勢的混合式解決方案。最佳的混合方式應該是結合集中化管理和分布式實施的緊密集成的架構。這就是 Blue Coat 結合 ProxySG/WebFilter 設備和網絡安全云安全提供的網頁威脅管理架構 - 都由WebPulse Collaborative Defense 提供支持。