化解SaaS安全問題的三大措施

在面臨雲端計算應用中的安全性問題時（特別是在軟體即服務SaaS級別），密碼管理不當和不安全協議威脅都將會對您的系統保密造成破壞或資料洩露，同時可能需要由您的企業來承擔法律責任。在本文中，我們將探討SaaS所帶來的三大威脅，以及能夠預先採取措施減輕這些威脅的戰略。

本文的目的在於讓大家明確，這裡所探討的三大威脅將是您自己能夠採取措施而緩解的，而不是要靠供應商來解決。這其中的區別取決於你所使用的“模式”級別（例如SaaS，平臺即服務PaaS和基礎設施即服務（IaaS）），正如國家標準與技術研究所關於雲端計算定義中所定義的那樣。

請注意，當供應方的威脅仍然可以影響您的服務時，可以進行風險轉移，這都是可以通過合同方式進行處理的。

在SaaS雲服務中最具威脅的因素是什麼？

由於SaaS模式一般是基於一個瘦型或Web客戶端，或一組Web服務，因此大多數威脅都被留給了供應商。而事實上，供應商處理了幾乎所有的威脅問題。這其中對於合同的理解和恰當處理是很重要的。

儘管如此，我的經驗表明SaaS產品中您必須處理的三大威脅如下：

* 易損證書
* 不安全協議
* 基於Web的應用缺陷

易損或不安全的證書

所有有安全需求的雲應用都需要使用者登入。有許多安全機制可提高訪問安全性，比如說通行證或智慧卡，而最為常用的方法是可重用的使用者名稱和密碼。對於那些缺乏標準管理的證書，密碼的強度最小（例如需要的長度和字符集過短），也沒有密碼管理（過期，歷史）。
密碼失效是攻擊者獲得資訊的首選方法，而容易被猜到的密碼則是主要目標。對於該威脅的最佳緩解措施是：

* 建立一個高強度密碼。我建議使用基於短句變形的密碼，且至少8個字元長。例如，將短句“What a great one for me to know!”變形為“Wagr814me2know!”（注：請不要在實際中使用這個例子）。
* 每90天修改一次您的密碼。時間長度必須基於資料的敏感程度。
* 不要使用舊密碼。

不安全的協議

雲應用是遠端定義，因此需要基於網路協議功能的通訊。但是當供應商配置應用使用不安全的協議時，就可能發生問題。這意味著應用會在客戶端和伺服器之間使用不具保密性和完整性的協議傳遞資訊。

使用者和管理員都經常遇到這類問題。使用不安全協議的應用往往會將使資料暴露給資料傳送沿途的任何人，例如遠端訪問的Telnet、檔案傳輸的檔案傳輸協議（FTP）、用於郵件的郵局協議（POP）與網際網路訊息訪問協議（IMAP）、以及基於網路訪問的超文字傳輸協議（HTTP）。
為了減輕不安全協議的威脅，您有三種選擇：

* 要求供應商替換該協議。例如使用安全殼（SSH）替代用於遠端終端訪問的Telnet。
* 要求供應商支援該協議的安全版本。例如，FTP安全（FTPS），使用SSL的POP，SSL的IMAP和超文字傳輸協議安全（HTTPS）。
* 使用應用保護連線上的資料。這要求應用在資料上線之前進行加密。注意這是最不可取的選擇，因為它涉及核心管理問題。

瞭解HTTP

在我們談及HTTP時重要的是要認識到我們並不是要討論您HTTP的起源。使用HTTP協議、XML、AJAX等作為通用封裝運送允許應用通過HTTP 管道傳送幾乎任何東西。當您聽到HTTP，您可能會想到“網路”。但是在實際中，應用可能甚至會傳送您所不瞭解的資料。

基於網路的應用缺陷

第三大威脅是當客戶有能力將適用範圍擴大時，也可能引入應用缺陷和安全風險。此類威脅會隨具體應用而變化，但也不容忽視。

要成功化解這類威脅，您需要理解您試圖擴充套件的應用。對應用程式程式設計介面（API）和安全特性進行適當的培訓是成功的關鍵。

接近的想法

我們已解決了公共雲SaaS產品的三大威脅。管理好您的證書，使用適當協議保護資料和證書，避免引入安全漏洞，將有助於您安全的實施SaaS解決方案。