云安全访问代理工具为云用户提供了一个额外的保护层，但是IT部门必须仔细选择合适的工具，以避免拖累云性能表现。

安全性仍然是企业IT部门所面临的一道难题。一方面要确保应用的可用性，一方面还要保护企业的重要业务数据，这本身就是一个需要双手弹好钢琴的难事，更不用说现在有越来越多的企业开始使用公共云服务了。

一个能够解决这一难题的新兴工具就是云安全接入代理。通过使用这一类工具，IT团队可以实施众多的安全措施。但是，这些工具并不都是一样的，所以企业应认真考虑潜在问题和评估每一个产品，这一点是非常重要的。

以下有四点建议，可以帮助您更高效地选择和部署云安全接入代理工具。

定义好你的目标

企业工具反反复复遇到的问题之一就是企业缺乏一个针对工具部署的明确目标。云安全接入代理工具并不能够包办一切，所以使用者首先应当对“你为什么要部署这个工具”有一个清醒而全面的认识。

云安全代理——例如Palerra、Elastica、Skyhigh Networks 以及Netskope等企业推出的同类工具，通常都会在企业用户和云服务供应商（例如亚马逊网络服务，AWS和谷歌云平台）之间实施一组独立的安全策略。但有时，其目标可能是希望发现和限制某些影子IT的活动，或者找出某些薄弱或宽松的安全策略。在其他情况下，云安全接入代理可能更多的是发挥监控和管理的作用，从而让企业业务部门了解到是如何使用云服务的——这是云预算的一个优势。

查看功能集

云安全访问代理工具提供了一系列的功能。它们可以让管理人员更深入地了解云服务的使用情况；使用预打包模板、定制策略和机器学习来监控用户操作和发现危险活动；为管理人员生成日志文件、发送警报和创建详细报告；甚至采取一些补救措施来执行既定的安全策略。一个云安全接入代理工具还可以与现有IT平台（例如Lightweight Directory Access Protocol）、身份与访问管理工具、票务与服务支持系统、单点登录以及其他安全工具进行集成。

全面审核云安全接入代理工具的功能集，以确保这个工具是否符合你的需求——或者确定需要额外安全投资的功能空白区。云安全接入代理的角色还是比较新的，所以仔细测试和评估这类工具是至关重要的。

评估范围

企业用户可以定制云安全访问代理工具以匹配特定云服务或平台。这些特定服务的工具是可以可靠工作的，但是它只能是针对预期的服务。例如，如果企业开发了在AWS平台上运行的云软件，那么它可能需要为AWS和其他云软件资源库（例如GitHub）分别准备一个工具。另外，如果企业更换了云平台，那么它就可能需要另行投资购买另一个云安全接入代理工具了。如有必要，请务必确保做好购买多个工具的预算。

本地托管云安全访问代理工具是需要及时更新的，但在某些情况下，更新有可能是破坏性的。在内部部署云安全接入代理工具的企业将需要把平台与现有补丁和变更管理工具整合起来。

当云安全代理是作为一个第三方服务时，用户同样会遭遇到服务停用或中断事件，此类事件发生的概率与其他任何软件即服务产品都是一样的。供应商必须提供一份合适的服务水平协议（SLA），以满足企业用户对于安全性和合规性两方面的要求。

评估运行模式

企业用户可以在多个位置部署云安全访问代理工具。每个位置都可以提供独特的优势和功能，所以了解工具能够在哪些位置实现更高效地运行是非常重要的。

在本地部署云安全访问代理也是通常的首选模式，这样做可以让这个工具监控所有的网络流量，分别在组、设备或地理级别实现对身份与访问控制的管理，以及使用本地加密措施来防止未经授权的访问请求。但是，工具的本地部署模式会要求IT团队能够管理和支持另一个系统。

基于云的安全代理工具是易于使用的，但是建立加密控制可能会影响云应用处理数据的能力。例如，如果云安全访问代理工具对财务数据进行了加密处理，一旦财务云应用试图使用该加密数据，就可能因为无法对数据进行解密而无法处理。与任何其他的云应用一样，这些产品也会遇到相同的可用性问题，所以，如果这个工具变得不可用，那么它所保护的云应用可能也会因此变得不可用。