雲網路被廣泛應用企業SaaS選型面臨五大安全問題

隨著SaaS的日益普遍，關於SaaS的安全問題也隨之而來。成本問題曾經是潛在SaaS客戶最頭痛的問題，但是現在，隨著越來越多的雲網路被用於戰略和關鍵任務業務應用，安全問題名列榜首。

“安全問題是阻止企業選擇SaaS的首要原因，”Forrester分析師Liz Herbert近日表示。

雲端計算資源比傳統網路系統更加高度集中化，很大程度上是因為虛擬技術允許單個伺服器承載很多虛擬機器器以及多個客戶的資料。

如果承載15臺虛擬機器器的伺服器被攻擊，“那麼15臺機器都將出於危險之中，”Gartner分析師Neil MacDonald表示。

在選擇SaaS之前有很多安全風險問題需要考慮，以下我們將主要討論五個安全問題：

1.雲端計算中的身份驗證並不成熟

Forrester分析師Chenxi Wang表示，雲供應商本身並不會周全地在他們的雲端計算平臺中加入身份驗證服務(通常存在於企業防火牆後面的服務)。有一些第三方技術可以讓IT部門加強雲端計算中基於角色的訪問控制。但總體而言，“這個領域目前仍然處於早期階段，”她表示。

谷歌有一個“安全資料聯結器”，它能夠在客戶資料和谷歌業務應用程式之間形成一個加密連線，同時讓客戶自己控制哪些員工可以訪問谷歌應用程式資源。

但是這種方法可能很難處理，因為使用多個SaaS應用程式的客戶會發現需要處理很多不同的安全工具，第三方產品至少能夠提供連線到很多不同型別SaaS應用程式的優勢。

雲端計算中身份和訪問管理還有很長的路要走，雲安全聯盟認為。

“對企業應用程式的身份驗證和訪問控制進行管理仍然是IT部門面臨的最大挑戰，”根據雲安全聯盟的研究顯示，“雖然企業可以部署沒有良好身份驗證和訪問管理戰略的雲端計算服務，但從長期來看，將企業的身份驗證服務擴充套件到雲服務中是非常必要的。”(轉載自：泡泡網)

不過，雲安全聯盟表示，SaaS的發展速度已經超越了建立全面行業標準的速度，該組織表示“對使用者資料檔案有限的專業支援”，並且包括服務供應標記語言(SPML)的行業標準在幾年來都沒有被更新。

2.雲標準很薄弱

“我們已經通過了SAS 70 審計，”這是很多雲服務供應商吹捧其安全認證的依據之一。SAS 70是一種旨在顯示服務供應商對資料有足夠控制能力的審計標準。這種標準的制定並沒有考慮雲服務的情況，但它現在卻已經成為雲服務標準的基準。分析師表示，比SAS 70更好的是ISO 27001，國際標準化阻止公佈的資訊保安規範。

ISO 27001是一個相當全面的標準，它涵蓋了很多客戶關心的執行安全方面的問題。“這對於我來說，至少是評估SaaS供應商是否成熟的一個基本依據，”Wang表示。

ISO27001“並不完美，但是卻是往正確的方向邁進了一步，”MacDonald表示，“這是最好的標準，但這並不意味著這樣就已經足夠。”

然而，將你的資料交給通過ISO27001標準的供應商並不能保證你的資料的安全性。調查發現，很多公司自稱符合ISO 27001標準，然後卻承認“在特權使用者管理方面存在不足”，包括在使用者間管理員帳戶的共享以及向使用者授予非必要的更寬泛的特權。

3.保密

雲供應商認為他們能夠比一般客戶本身更好地保護資料安全，並且SaaS實際上比大多數人所想象的更加安全。但是很多客戶覺得這很難相信，因為SaaS供應商通常對於他們的安全過程都相當保密。

特別是，很多雲服務供應商很少會發布關於他們資料中心及執行的詳細資料，並聲稱這樣做將會破壞安全性。然而，客戶和行業專家們早已受夠了所有懸而未決的問題以及保密協議。

Gartner分析師近日指控Amazon技術長Werner Vogels對於Amazon的內部安全措施沒有提供足夠透明性。在一般情況下，該分析公司表示，當供應商完全保密的情況下，客戶將要承擔所有安全責任。

“如果供應商不提供透明度，那並不是我們不信任他們，而是他們沒有給我們足夠的證據讓我們來信任他們，”MacDonald表示。

如果供應商不提供透明度，客戶需要積極詢問關於資料中心如何被保護以及供應商如何在多租戶系統隔離資料的細節資訊。

“問題是他們是如何為多租戶提供服務的，”MacDonald表示，“需要給我們所有技術詳細資訊，從應用程式本身到儲存資料的應用程式，我想知道我們的資料是如何與其他租戶的資料隔離的。”

分析SaaS應用程式的安全的能力甚至比分析企業內部系統安全的能力更加有限，但這不應該阻礙客戶要求供應商提供必要的索賠。

Gartner分析師Jay Heiser表示，“對供應商的言論表示質疑，要求書面或者其他形式的證據。”

服務水平協議(SLA)有時候讓人混淆，但至少在理論上來說，企業應該能夠接受服務水平協議的有力保證，特別是當他們有時間以及具備專業知識在事先與供應商進行談判時。

“整個SaaS環境都是受到SLA驅動的，”技術諮詢和外包公司Capgemini技術長Joe Coyle表示，“如果你真的仔細想想，如果SaaS不是基於SLA的話，你真的沒什麼可做的。”

在某些情況下，如果供應商願意，客戶可能可以調來自己的專家並試圖進入供應商的網路進行安全測試。

4.訪問所有區域增加便利性，但同時也帶來風險

SaaS的最大優點(即業務應用程式可以在任何有網際網路連線的地方被訪問)也帶來新的風險。隨著膝上型電腦和智慧手機的普及，SaaS成為IT部門確保端點安全的重點關注物件。

“由於SaaS本身的性質，它可以隨時隨地被訪問，”賽門鐵克託管服務高階副總裁Rowan Trollope表示，“如果我決定將我的電子郵件放到Gmail，任何一個員工都可能通過咖啡店的無線網路來登入，”這是SaaS的眾多優點之一，但同時這也是一個缺點。端點並不是必然安全的。

維持對儲存在本地伺服器上的電子郵件和檔案的控制比在雲服務中的更加容易，Trollope表示。

使用SaaS的企業需要部署政策來控制連線性，MacDonald表示。例如，客戶可能會與SaaS供應商合作以確保某項服務智慧從某些IP地址被訪問，並且要求遠端使用者通過VPN。

訪問許可權也可以通過使用思科或者Blue Coat的安全web閘道器裝置來進行管理，這些裝置可以控制使用者與雲服務之間的連線。例如，企業可以允許員工訪問Facebook，但阻止聊天功能。這種阻止對某種功能的訪問也可以運用於以業務為重點的雲服務中，MacDonald表示。

另外還有在IT部門不知情的情況下，員工訪問SaaS產品的問題。阻止這個問題的關鍵在於教育員工以及使用不同的網路監控和web過濾技術。

5.你並不總是知道你的資料的位置

在高度虛擬化系統，資料和虛擬機器可以從一個國家動態地轉移到另一個國家以確保負載平衡需求以及其他因素。

不過這仍然是比較少見的功能，即使資料儲存在一個國家內，客戶也需要能夠確認資料的位置以滿足監管要求，這也是EMC正在開發跟蹤和驗證雲網路中虛擬機器位置的技術，但是這種技術要到明年才會面市，並且它要求EMC、VMware以及英特爾產品的整合。

“現在，沒有任何技術可以驗證虛擬機器的位置，”EMC公司VMware技術副總裁Chad Sakac表示，“沒有任何失誤可以阻止你將一個虛擬機器轉移到世界上任何位置，更重要的是，並沒有辦法對這種轉移進行審計。

原文連結：鳳凰網