SaaS供应商云安全问题的五大质问

SaaS持续成长中被企业和家庭用户所接受跟据Gartner在2011年7月所公布的消息,SaaS的营收规模在2010年达到100亿美元,而且还在成长中。事实上,Gartner公司预估在2011年会成长20%以上,来到121亿美元。根据Gartner对SaaS的定义,软件”被一个或多个供应商所拥有、提供和远端管理。供应商
透过通用的程序代码和数据设定来提供应用程序,而且采取一对多的模式来提供给签约客户随时取用。可以采取使用量计费,或者其他多种套餐订阅模式”。而几乎每个相关主题的文章或演讲会举的例子都是Salesforce.com,虽然他们是SaaS领域里主要的供应商,
但是要知道,SaaS有多种不同的类型。客户关系管理、人力资源管理、云端备份、协作平台、会计审核平台、服务支持中心管理、托管服务和网页/电子邮件过滤等等,不胜枚举。对于供应商和客户来说,可以明显的看出经济效益,用户使用SaaS的成本,和自己购买软件加上布署的成本比起来是吸引的多。因为集中化的特质,SaaS供应商可以更迅速和容易地去更新以及管理软件和服务,可以直接观察客户使用模式来
改善应用程序。而它的可扩展性和以量计价模式对于客户和供应商来说都极具吸引力。另外,它也提供更有弹性的整合能力和开放界面,许多SaaS供应商开始提供社群媒体模式的协作功能或开放界面(APIs)。虽然SaaS能够提供灵活和具有成本效益的应用使用环境来取代传统模式,但它并非没有风险。因为转移到托管平台,而不是留在自己内部,企业必然会牺牲许多对于营运环境的控制。特别是在SaaS里,你几乎只能选择要上传或不上传某些数据,而剩下的就不是你能掌控了。但是你还是得为自己的数据保护负起法律和监管责任。SaaS环境下的风险有许多种,而且大多数都和它所提供的
好处相关。正如前面提到的,你的供应商透过某些网络分析来了解你对服务平台的使用状况,他们也能够存取你所
有的数据,这会产生未经授权存取或被内部员工监控的风险。系统的集中化特质和多租户(Multi-tenanted)环境底下的单一设定模式意味着,如果有一个漏洞影响到一个客户,那么很有可能会让其他客户也都受到相同的影响。EPSILON数据外泄事件就是一个最近的例子,而它也影响了许多使用同一个SaaS供应商的Fortune 500大公司。弱点攻击可能牵涉的范围很广。如果没有正确地设计,开发和设定的话,多数SaaS供应商会使用的常见协定和软件堆叠,
例如HTTP、XML / SOAP、JSON、CSS和JavaScript,都有现成并且常常会被利用的漏洞。如果服务平台提供更大的弹性来允许客制化和外部整合(一个SaaS供应商的重要卖点),就越有机会让一些客户产生出漏洞,而让其他厂商也承受被攻击的后果。这是多租户环境下的必然后果。五个关键的安全问题要问你的SaaS供应商1.渗透测试 - 如何以及多常进行整个环境的渗透测试,是否有能力自己独立对部分环境进行渗透测试?如果没有常常进行
深入的渗透测试,你就不能得知当前安全状况的全貌。2.数据安全 - 在使用资源共享的SaaS供应商数据中心时,如何对储存和传输中的数据进行加密?谁可以拿到加密金钥?是否有做权责区分(separation of duties),并将加密金钥和数据维护分开负责?供应商是否能提供你SAS 70报告?3.多租户 - 是否有提供单一租户托管的选项?还要确认单一租户是否只包括应用程序,还是也包括数据储存的部份?4.灾难复原 - 当发生灾难性故障、受到外部入侵或数据遗失时,有准备备份和回复的程序吗?备份的数据储存在
哪里(再次提醒,需要加密)以及如何有效地回复?5.用户验证 - SaaS应用程序的登入程序为何?是否使用多因子认证?是否可以和客户正在使用中的认证机制做整合?SaaS供应商云安全问题的分析就与大家分享到这里,
其实SaaS环境下的风险有很多,并且大多数都和它所提供的好处相关。【编辑推荐】赛门铁克收购MessageLabs 图谋SaaS市场SaaS与虚拟技术所面临的软件授权问题Websense发布Web安全和DLP、硬件与SaaS的解决方案邮件归档系统部署方式之SaaS和集成邮件服务器网络安全SaaS可以提供实时保护应用企业SaaS选型面临安全问题总结【责任编辑:liyan TEL:(010)68476606】 原文:SaaS供应商云安全问题的五大质问 返回网络安全首页

时间: 2024-10-24 11:35:49

SaaS供应商云安全问题的五大质问的相关文章

五大质问SaaS供应商的云安全问题

显而易见地,软件即服务(SaaS)正在持续成长中,也持续被企业和家庭用户所接受.跟据Gartner在2011年7月所公布的消息,SaaS的营收规模在2010年达到100亿美元,而且还在成长中.事实上,Gartner公司预估在2011年会成长20%以上,来到121亿美元. 根据Gartner对SaaS的定义,软件"被一个或多个供应商所拥有.提供和远端管理.供应商透过通用的程序代码和数据设定来提供应用程序,而且采取一对多的模式来提供给签约客户随时取用.可以采取使用量计费,或者其他多种套餐订阅模式&q

SaaS供应商的安全问题

问题描述 对于供应商和客户来说,可以明显的看出经济效益,用户使用SaaS的成本,和自己购买软体加上布署的成本比起来是吸引的多.因为集中化的特质,SaaS供应商可以更迅速和容易地去更新以及管理软体和服务,可以直接观察客户使用模式来改善应用程式.而它的可扩展性和以量计价模式对于客户和供应商来说都极具吸引力.另外,它也提供更有弹性的整合能力和开放介面,许多SaaS供应商开始提供社群媒体模式的协作功能或开放介面(APIs).五个关键的安全问题要问你的SaaS供应商:1–渗透测试–如何以及多常进行整个环境

阿里巴巴新征途:收购美国SaaS供应商Vendio

"一切皆服务",惠普高级副总裁兼首席策略和技术官Shane Robison曾这样预言.在电子商务领域,阿里巴巴不仅要实现这一理想,而且正致力于将此理想置于一个数据共享平台之上,实现电子商务端到端服务. 近期,阿里巴巴收购美国电子商务SaaS供应商Vendio的消息再次引起关注.它标志着阿里巴巴又向全程全网电子商务的目标向前迈进了一步.阿里巴巴会将全球速卖通与Vendio平台的后台直接打通,Vendio上超过8万商家将可以实现经由Vendio平台从阿里巴巴供应商网络中进货,然后通过同一平

如果用户的SaaS供应商破产该怎么办?

2013年,云存储供应商Nirvanix公司关闭了其业务.该公司一直在与Amazon Web Services,谷歌计算引擎和微软Azure进行市场竞争,并陷入这些巨头之间的价格战.该公司聘请了一些知名的首席执行官,其中包括社交游戏公司Zynga的Debra Chrapaty.但是,Nirvanix公司只提供存储服务,并没有提供更多的服务,所以当市场竞争开始变得激烈时,该公司由于各种因素不得不退出.Nirvanix公司是云存储的行业先驱,但宣布关闭之后,最终只给客户两周的时间来检索和移动他们的数

韩都衣舍供应商大会召开 发布五大管理政策

中介交易 SEO诊断 淘宝客 云主机 技术大厅 2013年12月20日,韩都衣舍供应商年会在济南举行,大会以"责任﹒品质﹒共赢"为主题,供应商代表和电商人士等进500人参加会议,就未来电商发展趋势进行了深入探讨.同时,在会议上发布了五大供应商管理政策. 韩都衣舍不断加大对品质的投入,包括公司架构方面的调整,新成立了生产企划部和生产面料部,从品质源头把控,建立了一套成熟的供应商分级管理系统.韩都衣舍的供应商分级管理系统包含五大机制:供应商准入机制.供应商绩效评估和激励机制.供应商分级认证

SaaS CRM系统存在的五大安全漏洞

软件即服务(SaaS)应用程序正在企业市场攻城掠地.知名调研机构IDC公司预测,到2018年,云应用程序将占到27.8%的市场份额.客户关系管理(CRM)工具尤其得益于基于云的集成架构,因为客户数据很容易收集起来,然后在整个企业进行共享.不过你在将敏感的客户数据和商业机密装入到SaaS系统之前,确实需要留意SaaS环境存在的几个安全漏洞. 1. 端点安全漏洞 如果你的端点岌岌可危,CRM厂商有多安全都不重要.如果连接到SaaS CRM,一定要仔细分析已落实的安全机制.你的网络和工作站安全可能很可

看懂供应商云安全评估字里行间之意

认证是评估云提供商的安全性的一个很好的起点,但如果用户想了解其中有多大的风险,就不能只是简单的照本宣科,必须进行更深一步的了解. 云安全评估和认证旨在帮助企业了解提供商采取了哪些步骤来保护机密信息.不过,虽然安全认证可以给于用户一定程度的信心,但只靠它们来保证信息安全往往是不够的. 数据安全仍然是公有云的一大死穴."紧随价格之后,供应商提供什么程度的安全性是所有企业在检验公有云服务时首先要问的问题之一,"Dan Blum,一家总部设在华盛顿特区的咨询公司,Security Archit

中小企业挑选SaaS供应商的10个建议

SaaS是Software-as-a-service(软件即服务)的简称,是随着互联网技术的发展和应用软件的成熟,而在21世纪开始兴起的一种完全创新的软件应用模式.它与"on-demand software"(按需软件),the application service provider(ASP,应用服务提供商),hosted software(托管软件)所具有相似的含义. 它是一种通过Internet提供软件的模式,厂商将应用软件统一部署在自己的服务器上,客户可以根据自己实际需求,通过

企业确保云安全访问的五大步骤

摘要:对于大型企业而言,他们通往云计算部署的道路无疑是由身份集成整合和联合层所铺设的.那么,就不妨参考本文,来作为确保您企业对于云服务的安全访问的相关指南吧. 现如今,云计算可以说正在推动着新的安全服务呈现爆炸似增长,但并不是每家企业都能够同样挖掘到,并充分利用这一趋势.尽管身份即服务 (IDaaS) 和云计算正在改变着中小型企业的市场竞争游戏规则,而那些财富1000强的企业鉴于其自身庞大的规模和复杂性的热特点,使得这些已经创建了多年的老字号企业难以彻底的超越其边界安全.他们的客户群可能已经覆盖