8.网络层保护

　　在过去几年中，保护对基于互联网的资产的网络连接变得越来越迫切。现在，网站正越来越多地受到网络犯罪分子和黑客组织的攻击。黑客组织Anonymous使用低技术工具（例如Low Orbit Ion Cannon）对各种企业发动DoS攻击还是新闻头条，这种类型的攻击主要出现在企业靠互联网来访问基于云的应用。

　　对这种针对云资产的攻击的最好防御其实是云本身。一些安全即服务解决方案通过利用大量带宽和智能协议路由，来提供针对DoS攻击的保护。这些服务还可以将Web服务器隐藏在其前端服务器后，防止遭受路过式攻击。其他基于云计算的安全包括PCI DSS、数据标记化、web应用防火墙以及隐藏DNS服务器。

　　安全即服务的风险

　　对于缓解安全风险，世界上并不存在完美的工具，安全即服务也不例外。基于云计算的安全服务和所有其他云服务相同的安全风险一样，主要分为以下几个类别：

　　1. 云供应商对你的数据拥有一定程度的访问权限。云供应商必须谨慎处理安全相关的数据，因为这些数据的泄露可能导致多个数据泄露事故。更全面的云计算服务应使用加密技术，但这里仍然存在供应商密钥管理的问题。对于需要拥有最高数据保密性的应用的企业，最好考虑使用内部解决方案。

　　2. 安全即服务将是从互联网访问。对于内部系统，安全专业人员不需要考虑这个风险，在过去，将内部防火墙管理工具暴露在互联网从来都是不被接受的做法。这些服务器的身份验证系统必须提供强大的多因素身份验证，以确保适当的保护水平。你还需要考虑潜在的DoS攻击，如果没有强大的保护，攻击者可能会修改服务或者阻止企业管理或访问这些服务。

　　3. 安全即服务供应商间输出服务的开放标准不太可能。使用这些服务的企业需要明白供应商间的任何切换将是完全手动的操作，包括在新供应商处重新建立防火墙规则、虚拟机配置和身份验证方法。

　　4. 企业应该进行详细的供应商尽职调查审计，以对待任何其他云服务供应商的方式来对待安全即服务。企业应该仔细选择供应商，并调查其财务状况，以确保他们不会突然人间蒸发。彻底检查服务供应商的信息安全状态，从SAS-70或者SSAE-16审计报告以及漏洞评估报告开始。企业需要完全信任云供应商，所以，这种审计是至关重要的。

　　5. 对于基于云计算的安全服务，合规是另一个难以解决的问题。一个服务可以提供一流的审计报告，并满足所有尽职调查的技术要求，然而，却可能仍然不能满足合约或法律协议，例如HIPAA法案要求的商业伙伴合约（Business Associate Agreement）。这种情况正在改善，但企业必须了解安全即服务供应商将如何满足其特定的合规要求。

　　很多信息安全专业人士对部署任何类型的外包服务都充满焦虑，这是安全即服务需要考虑的。目前的经济发展让很多类型的员工产生一定的抗拒，安全专业人士担心自己被云服务取代。然而，这些新服务可以让安全专业人士将时间和精力投入到更高水平的战略性安全项目中，而不是每天的日常维护工作。这将有助于安全计划实现更高的效率，而这实际上还可能增加工作安全性。此外，谁真的愿意花整晚的时间来编制另一个更新版本的Snort？