构建在PaaS上的应用安全性远超通用SaaS?

企业应用迈入公有云,构建在PaaS上的应用为何在“安全”上远超通用SaaS?

从全球范围和国内的云计算趋势中我们看到,未来的IT将不再是企业的资产,这种趋势对数据主权要求不高的行业尤为剧烈。软件定义世界,各种软件正在变成一种触手可得的服务,让在你需要的时候立刻拥有它,不需要的时候销毁它。

在我们国内,有很多优秀的企业SaaS应用,他们通常专注于服务一个群体,将客户痛点化为简单的应用,提供即需即用的交付模式,深受用户的喜爱和依赖。如果你的企业对这样的应用不满意,那么你可以从清单中选择更适合的SaaS应用。只要你够安全,“轻轻的我走了,正如我轻轻的来”,看起来一切都如此浪漫和美好。

  "真理惟一可靠的标准就是永远自相符合。 —— 欧文"

无论是SaaS、PaaS还是IaaS厂商,都在无时无刻的努力保护着企业数据安全和隐私这一商业承诺,达到符合企业要求的标准。我们不追求颠覆式技术,如果能够将交付在云中的业务达到传统企业级安全的水准,我们认为已经是一个巨大的飞跃。至少,可以开始破冰之旅,但是我们还未看到哪款通用SaaS在架构设计上趋于这一承诺。

SaaS模式无论对企业用户还是厂商都极具诱惑。下面列举的是2015年的SaaS架构现状,目前采用的技术,大致如下(灾备、防水墙工作流程就不提了,和SaaS应用架构无关)

  • 用SSL和传输混合加密。网络真的安全了吗?
  • 用分库、分表或者加上元数据。数据隔离或者混淆了就真的不会被窃走商业数据吗?
  • 运行同一套代码,发现问题随时升级。程序就真的安全了吗?
  • 站在企业级安全角度,我们的回答全部是否定的。所以在SaaS厂商技术架构没有得到重生之前,那些无关重要的边际业务是当前SaaS发力的最佳阵地。
  • 回到欧文的至理名言上,这些宣称的安全与事实有哪些明显的不符合吗?

首先,SaaS应用的经典理论是共享租户模型,但是不同厂商能力不同,对共享服务的粒度设计也就不同,但仍旧逃脱不了“共享”。我们列举下共享意味着什么:

  1. A企业和B企业员工的操作,共享着服务器的程序代码逻辑、内存、网络传输和日志记录,随时面临着“恶意提权”的风险。在传统IT模式下,没有企业能够接受核心业务系统可以这样设计,在云端就需要寻求合理的替代方案
  2. A企业和B企业的数据存储在一张表中,被逻辑隔离。当该物理表被恶意攻击后,所有企业数据面临同级别风险
  3. A企业和B企业数据分别存储在独立的表中,数据在一个或被分布式组合的数据库中。当该数据库被恶意攻击后,部分企业数据面临同级别风险
  4. A企业和B企业数据分库存储。当某个数据库被恶意攻击后,只影响该企业的数据

SSL加密只限于客户端与服务器端通信的安全,上述隐患实际全部集中在服务端。水源是公共的,水受污染殃及全池,选择共享架构,服务端安全(泄露)是当前SaaS厂商面临的最大挑战。

那么,数据库被攻击的几率有多大?如果租户间的数据库处于一个可连接的网络环境,这就会变成一个基础的安全问题。

共享架构出现在十五年前,那个计算资源昂贵又匮乏的年代,其商业模式和技术方案是被验证的。但在公有云服务变得更加可靠、成熟和廉价时,能够在公有云之上虚拟企业的“私有应用环境”,并能够获得SaaS模式的体验,大中型企业的IT应用才有可能全面迁至公有云。通过我们对近百名CIO的调查发现,一些创新应用和企业下一代的应用可能会优先尝试构建在PaaS之上。

如果没有实现云端资产的私有化隔离,数据存储和销毁在安全上不会得到架构的保障。

正是由于应用交付和运行架构的不同,构建在PaaS云上的应用在安全和私有化上远远的超过SaaS共享架构所能及之处,使得私有化云架构会更符合严肃企业对云端应用的安全标准要求。

本文作者:佚名

来源:51CTO

时间: 2024-09-29 22:49:33

构建在PaaS上的应用安全性远超通用SaaS?的相关文章

在PaaS上构建SaaS应用程序需要注意什么

遗留系统含有成千上万个执行一大批业务功能的服务组件.比如说,假设贵企业运行的一个内部遗留系统中的一套组件向企业高管提供一份统计报告.为了赶在截至日之前获得这份每周提交的报告,该高管应该考虑将必要的组件迁移到新的软件即服务(SaaS)应用程序. 如果经济可行性研究表明这种迁移是明智的决策,他应该与其他高管以及由开发人员.系统工程师和业务分析人员组成的一个团队合作,将遗留系统细分成多个组件,然后着手开发那个应用程序. 1.识别遗留系统资产 开发团队.高管和遗留系统负责人需要识别遗留系统的资产.这些资

DockOne微信分享(七十九):基于容器技术构建企业级PaaS云平台实践

本文讲的是DockOne微信分享(七十九):基于容器技术构建企业级PaaS云平台实践[编者的话]企业级容器化PaaS平台旨在为企业应用提供底层支撑能力,覆盖应用开发.应用交付.上线运维等环节,包括代码的管理.持续集成.自动化测试.交付物管理.应用托管.中间件服务.自动化运维.监控报警.日志处理等,本次分享主要介绍基于容器技术构建PaaS平台所采用的相关技术.涉及的核心功能模块以及相关方案. 为满足以上需求,MoPaaS企业版基于Cloud Foundry及Kubernetes等开源技术框架和智能

在PaaS上开发Web、移动应用(2)

在PaaS上开发Web.移动应用(2) PaaS学习笔记目录 PaaS基础学习(1) 在PaaS上开发Web.移动应用(2) PaaS优点与限制(3) 6. 巨型代码,是指持续不断地向一个应用程序添加功能,不停地增加新的特性如搜索功能.账户管理.博客发布等. 在开发速度以及在适应扩展需求的总体架构之间进行权衡. 新技术的面向服务架构(SOA)在Web应用的复兴 标准技术(例如REST)也让服务更统一和易维护. 7. JSON JSON(JavaScript Object Notation)是作为

研究称iOS在HTML5表现上远超Android

研究称iOS在HTML5表现上远超Android(图) http://www.sina.com.cn2012年03月06日01:35新浪科技微博HTML5表现:iOS VS Android新浪科技讯 北京时间3月6日凌晨消息,面向移动游戏开发者的本地JavaScript和HTML5平台发布研究报告称,无论按哪种标准计算,苹果iPhone手机和iPad平板电脑在HTML5上的表现都要比Android设备好最多三倍.报告还显示,Android设备的表现差异很大,其中Galaxy Nexus远远超出基

借助风险管理框架解决PaaS上的安全控制问题(1)

风险管理提供了一种框架,可以帮助你选择 安全控制,从而保护平台即服务(PaaS)上处于开发生命周期任何环节的信息系统――至于那是工程系统.采购系统还是人事系统,并不重要.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' style="width: 354px; height: 305px" border="0" alt=" 借助风险管理框架 解决PaaS上的安全控制问题&q

政府安全资讯精选 2017年第十二期 中国网络安全漏洞披露平均效率远超美国; 美国美国国土安全部发布指令,要求联邦机构强化Web和电子邮件安全

  [国内政策分析] 安徽合肥开出首张<网络安全法>罚单 点击查看原文   概要:合肥市公安局高新分局对某企业的门户网站被植入木马病毒的案件进行调差.同时,对该单位网络安全负责人和负责维护合肥某信息产业有限公司的负责人开出了合肥市首张违反<网络安全法>处罚决定,对未落实网络安全保护责任的行为下达整改通知书,并处以警告处罚.   点评:该企业违反了<网安法>第二十一条,"网络运营者应当按照网络安全等级保护制度的要求,采取防范计算机病毒和网络攻击.网络侵入等危害网

张宏江:Win8改写PC发展意义远超Win95

[搜狐IT消息](文/刘瑞刚)10月24日消息,微软将于本月26号正式发布Windows 8操作系统,与此同时,各种预装了Windows 8的终端也将和用户见面.金山软件CEO张宏江在接受搜狐IT采访时表示,Win8将改写PC产业发展 ,其发布意义远超过win95.金山软件CEO张宏江作为一款新产品,Win8是否可以取得成功?张宏江博士 认为,对Win8成败起决定性作用的,是后续微软与各软件开发企业之间的博弈.Windows系统的成功离不开千千万万生态系统圈中各个环节的共同努力.Win8改写PC

硅谷与情报机构关系远超外界想象

7月4日,路透社今天撰文称,虽然谷歌和微软等科技公司在"棱镜门"曝光后不遗余力地漂白自己,但事实上,硅谷与情报机构之间的关系远超外界想象,甚至连硅谷的创立和繁荣都与美国的情报和国防项目密切相关.  以下为文章全文:  广泛合作  虽然硅谷一直在努力撇清与"棱镜"监视项目的关系,但事实上,这里的高科技企业与美国情报机构有着很深的渊源.  曾经任职于美国政府和情报机构的消息人士表示,科技行业与情报机构的合作比多数人想象得更广泛.更深入,甚至可以追溯到硅谷建立之初.  随

中国电商转战美国称毛利润远超本土业务

中国互联网零售商的根据地今年已经成为全球第一大电子商务市场.他们下一个目标瞄准了美国,以及其他所有地方. 京东商城披露的数据显示,该公司的国际网站过去一年已经实现了数百万元人民币的销售额.阿里巴巴2010年推出的全球速卖通也在新兴市场实现了迅猛增长,仅在俄罗斯就吸引了70万注册用户. 中国企业之所以转战海外市场,一定程度上源于本土市场的激烈竞争."在中国,价格是最重要的因素,根本没有多少用户忠诚度可言."京东商城出口业务负责人刘思军说,"而在中国以外,服务则更加重要.&quo