随着安全行业的众多厂商慢慢转型成为托管安全服务供应商，一个特定的应用领域也逐渐成为了主流，即：通过云计算软件即服务交付的漏洞管理。目前，一些厂商也已提供了基于云计算的漏洞扫描和修复工具，这些产品迅速地占据了市场份额。在本文中，我们将首先探讨下使用基于云计算的漏洞管理服务是否是你的企业的正确选择，然后将提供一些标准来帮助你选择供应商，最后还会介绍一个用于云计算扫描的DIY方法。

　　软件即服务，基于云计算的漏洞管理服务是否适合你的企业？

　　当你考虑实施软件即服务（SaaS）漏洞管理的产品或服务时，你可能需要花一点时间来确认下你已开发和归档的业务是否适合迁往云计算。具体的理由可能各不相同，但是很多企业所提出的共同的优点却是相同的，其中包括：

　　成本节省——基于云计算的漏洞管理服务有时候能够通过降低你的总支出、取代你的组合扫描软硬件成本以及年度使用许可费来为你实现更低的直接成本。在几乎所有的情况下，云计算服务能够通过减少你的员工必须花在安装和配置系统上的时间来降低你的非直接成本。

　　易于更新升级——使用SaaS方法，就能够实现自动更新升级。通常情况下，供应商只需按照预定的计划简单地为产品打补丁，而所有的客户就能够几乎立即进行应用程序错误补丁和新功能的升级。与之类似，漏洞特征库的升级也是能够实时完成的。

　　附加的角度——组合使用基于云计算的扫描程序和托管设备将为你的数据处理带来额外的安全信息。除了查看你自己网络中的漏洞，你还能通过托管在供应商数据中心的扫描程序查看你的系统暴露在互联网中的安全情况。

　　但是，这是一个鱼与熊掌不可兼得的命题：当你采用基于云计算方法时，你就必须放弃一定程度的控制权。你不再需要访问底层操作系统，而最重要的是，你可能再也无法控制应用程序更新。面对这样一个可能对你的业务流程产生负面影响的“增强型功能”，你可能根本没有选择的余地。

SaaS及云计算漏洞管理厂商如何选？

　　当对供应商进行评估时，首先应确定他们所提供的系统能够以合理的成本满足你的基本业务需求。其次，请特别关注服务水平协议，尤其是其中关于正常运行时间和零时差攻击特征可用性等方面的条款。此外，你还需花一些时间对系统的报告和整治跟踪的能力进行认真评估。

DIY云计算漏洞扫描

　　如果你还没有做好完全实施基于云计算漏洞管理的准备工作，那么你还是不妨考虑为你的扫描环境增加一个基于云计算角度的可行性方法。很多漏洞管理系统供应商都提供了扫描节点作为虚拟设备或纯软件产品。假设在诸如Amazon网络服务EC2云计算这样的环境中能够简便地创建虚拟机服务，那么你可能需要在云计算中部署一个额外的扫描程序。然后，这个扫描程序就能够与你的现有管理平台集成，从云计算角度为你提供扫描结果。

　　那些还没有部署任何漏洞扫描功能的企业可能还希望寻找到可完全建立在云计算环境中的免费或低成本方法。 例如，开源漏洞扫描程序OpenVAS就能够被方便的设置在云计算中。如果你正在寻找更好的服务，那么你可以考虑Nessus；虽然它不再是免费的，但是它提供了专业的Feed服务，而年使用许可费为1500美元。

　　漏洞管理是试水云计算安全服务的一个好方向。你可以以较少的初期投入从云计算漏洞扫描开始，并从这些系统所提供的额外角度和管理成本降低中实现显著的收益。

　　作者简介：

　　Mike Chapple,博士、CISA、CISSP，他是Notre Dame大学的IT安全经理。他曾担任过美国国家安全局和美国空军的信息安全研究员。Chapple经常为SearchSecurity.com撰文，并作为其企业合规性、框架和标准专家栏目的常驻专家。他之前是网络安全现场专家，目前是《信息安全》杂志的技术编辑和多篇信息安全著作的作者，其中包括CISSP认证考试指南和信息安全照明。