SaaS选型遭受五大安全问题拷问.docVIP

SaaS选型遭受五大安全问题拷问 　　随着SaaS的日益普遍，关于SaaS的安全问题也随之而来。成本问题曾经是潜在SaaS客户最头痛的问题，但是现在，随着越来越多的云网络被用于战略和关键任务业务应用，安全问题名列榜首。 　　“安全问题是阻止企业选择SaaS的首要原因，”Forrester分析师Liz Herbert近日表示。 　　云计算资源比传统网络系统更加高度集中化，很大程度上是因为虚拟技术允许单个服务器承载很多虚拟机器以及多个客户的数据。 　　如果承载15台虚拟机器的服务器被攻击，“那么15台机器都将出于危险之中，”Gartner分析师Neil MacDonald表示。 　　在选择SaaS之前有很多安全风险问题需要考虑，以下我们将主要讨论五个安全问题： 　　1.云计算中的身份验证并不成熟 　　Forrester分析师Chenxi Wang表示，云供应商本身并不会周全地在他们的云计算平台中加入身份验证服务(通常存在于企业防火墙后面的服务)。有一些第三方技术可以让IT部门加强云计算中基于角色的访问控制。但总体而言，“这个领域目前仍然处于早期阶段，”她表示。 　　谷歌有一个“安全数据连接器”，它能够在客户数据和谷歌业务应用程序之间形成一个加密连接，同时让客户自己控制哪些员工可以访问谷歌应用程序资源。 　　但是这种方法可能很难处理，因为使用多个SaaS应用程序的客户会发现需要处理很多不同的安全工具，第三方产品至少能够提供连接到很多不同类型SaaS应用程序的优势。 　　云计算中身份和访问管理还有很长的路要走，云安全联盟认为。 　　“对企业应用程序的身份验证和访问控制进行管理仍然是IT部门面临的最大挑战，”根据云安全联盟的研究显示，“虽然企业可以部署没有良好身份验证和访问管理战略的云计算服务，但从长期来看，将企业的身份验证服务扩展到云服务中是非常必要的。” 　　不过，云安全联盟表示，SaaS的发展速度已经超越了建立全面行业标准的速度，该组织表示“对用户资料文件有限的专业支持”，并且包括服务供应标记语言(SPML)的行业标准在几年来都没有被更新。 　　2.云标准很薄弱 　　“我们已经通过了SAS 70 审计，”这是很多云服务供应商吹捧其安全认证的依据之一。SAS 70是一种旨在显示服务供应商对数据有足够控制能力的审计标准。这种标准的制定并没有考虑云服务的情况，但它现在却已经成为云服务标准的基准。 　　分析师表示，比SAS 70更好的是ISO 27001，国际标准化阻止公布的信息安全规范。 　　ISO 27001是一个相当全面的标准，它涵盖了很多客户关心的运行安全方面的问题。“这对于我来说，至少是评估SaaS供应商是否成熟的一个基本依据，”Wang表示。 　　ISO27001“并不完美，但是却是往正确的方向迈进了一步，”MacDonald表示，“这是最好的标准，但这并不意味着这样就已经足够。” 　　然而，将你的数据交给通过ISO27001标准的供应商并不能保证你的数据的安全性。调查发现，很多公司自称符合ISO 27001标准，然后却承认“在特权用户管理方面存在不足”，包括在用户间管理员帐户的共享以及向用户授予非必要的更宽泛的特权。 　　3.保密 　　云供应商认为他们能够比一般客户本身更好地保护数据安全，并且SaaS实际上比大多数人所想象的更加安全。但是很多客户觉得这很难相信，因为SaaS供应商通常对于他们的安全过程都相当保密。 　　特别是，很多云服务供应商很少会发布关于他们数据中心及运行的详细数据，并声称这样做将会破坏安全性。然而，客户和行业专家们早已受够了所有悬而未决的问题以及保密协议。 　　Gartner分析师近日指控Amazon首席技术官Werner Vogels对于Amazon的内部安全措施没有提供足够透明性。在一般情况下，该分析公司表示，当供应商完全保密的情况下，客户将要承担所有安全责任。 　　“如果供应商不提供透明度，那并不是我们不信任他们，而是他们没有给我们足够的证据让我们来信任他们，”MacDonald表示。 　　如果供应商不提供透明度，客户需要积极询问关于数据中心如何被保护以及供应商如何在多租户系统隔离数据的细节信息。 　　“问题是他们是如何为多租户提供服务的，”MacDonald表示，“需要给我们所有技术详细信息，从应用程序本身到存储数据的应用程序，我想知道我们的数据是如何与其他租户的数据隔离的。” 　　分析SaaS应用程序的安全的能力甚至比分析企业内部系统安全的能力更加有限，但这不应该阻碍客户要求供应商提供必要的索赔。 　　Gartner分析师Jay Heiser表示，“对供应商的言论表示质疑，要求书面或者其他形式的证据。” 　　服务水平协议(SLA)有时候让人混淆，但至少在理论上来说，企业应该能够接受服务水平协议的