|
SaaS 选型遭受五大安全问题拷问随着SaaS的日益普遍,关于SaaS的安全问题也随之而来。成本问题曾经是潜在SaaS客户最头痛的问题,但是现在,随着越来越多的云网络被用于战略和关键任务业务应用,安全问题名列榜首。 随着SaaS的日益普遍,关于SaaS的安全问题也随之而来。成本问题曾经是潜在SaaS客户最头痛的问题,但是现在,随着越来越多的云网络被用于战略和关键任务业务应用,安全问题名列榜首。 “安全问题是阻止企业选择SaaS的首要原因,”Forrester分析师Liz Herbert近日表示。 云计算资源比传统网络系统更加高度集中化,很大程度上是因为虚拟技术允许单个服务器承载很多虚拟机器以及多个客户的数据。 在选择SaaS之前有很多安全风险问题需要考虑,以下我们将主要讨论五个安全问题: 1.云计算中的身份验证并不成熟 但是这种方法可能很难处理,因为使用多个SaaS应用程序的客户会发现需要处理很多不同的安全工具,第三方产品至少能够提供连接到很多不同类型SaaS应用程序的优势。 “对企业应用程序的身份验证和访问控制进行管理仍然是IT部门面临的最大挑战,”根据云安全联盟的研究显示,“虽然企业可以部署没有良好身份验证和访问管理战略的云计算服务,但从长期来看,将企业的身份验证服务扩展到云服务中是非常必要的。” 不过,云安全联盟表示,SaaS的发展速度已经超越了建立全面行业标准的速度,该组织表示“对用户资料文件有限的专业支持”,并且包括服务供应标记语言(SPML)的行业标准在几年来都没有被更新。 2.云标准很薄弱 分析师表示,比SAS 70更好的是ISO 27001,国际标准化阻止公布的信息安全规范。 ISO 27001是一个相当全面的标准,它涵盖了很多客户关心的运行安全方面的问题。“这对于我来说,至少是评估SaaS供应商是否成熟的一个基本依据,”Wang表示。 ISO27001“并不完美,但是却是往正确的方向迈进了一步,”MacDonald表示,“这是最好的标准,但这并不意味着这样就已经足够。” 3. 保密 “如果供应商不提供透明度,那并不是我们不信任他们,而是他们没有给我们足够的证据让我们来信任他们,”MacDonald表示。 如果供应商不提供透明度,客户需要积极询问关于数据中心如何被保护以及供应商如何在多租户系统隔离数据的细节信息。 “问题是他们是如何为多租户提供服务的,”MacDonald表示,“需要给我们所有技术详细信息,从应用程序本身到存储数据的应用程序,我想知道我们的数据是如何与其他租户的数据隔离的。” 分析SaaS应用程序的安全的能力甚至比分析企业内部系统安全的能力更加有限,但这不应该阻碍客户要求供应商提供必要的索赔。 服务水平协议(SLA)有时候让人混淆,但至少在理论上来说,企业应该能够接受服务水平协议的有力保证,特别是当他们有时间以及具备专业知识在事先与供应商进行谈判时。 “整个SaaS环境都是受到SLA驱动的,”技术咨询和外包公司Capgemini首席技术官Joe Coyle表示,“如果你真的仔细想想,如果SaaS不是基于SLA的话,你真的没什么可做的。” 在某些情况下,如果供应商愿意,客户可能可以调来自己的专家并试图进入供应商的网络进行安全测试。 4.访问所有区域增加便利性,但同时也带来风险 SaaS的最大优点(即业务应用程序可以在任何有互联网连接的地方被访问)也带来新的风险。随着笔记本电脑和智能手机的普及,SaaS成为IT部门确保端点安全的重点关注对象。 “由于SaaS本身的性质,它可以随时随地被访问,”赛门铁克托管服务高级副总裁Rowan Trollope表示,“如果我决定将我的电子邮件放到Gmail,任何一个员工都可能通过咖啡店的无线网络来登录,”这是SaaS的众多优点之一,但同时这也是一个缺点。端点并不是必然安全的。 使用SaaS的企业需要部署政策来控制连接性,MacDonald表示。例如,客户可能会与SaaS供应商合作以确保某项服务智能从某些IP地址被访问,并且要求远程用户通过VPN。 5.你并不总是知道你的数据的位置
责编:张欢 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
专家专栏 |
|