五大质问SaaS供应商的云安全问题

显而易见地,软件即服务(SaaS)正在持续成长中,也持续被企业和家庭用户所接受。跟据Gartner在2011年7月所公布的消息,SaaS的营收规模在2010年达到100亿美元,而且还在成长中。事实上,Gartner公司预估在2011年会成长20%以上,来到121亿美元。

根据Gartner对SaaS的定义,软件”被一个或多个供应商所拥有、提供和远端管理。供应商透过通用的程序代码和数据设定来提供应用程序,而且采取一对多的模式来提供给签约客户随时取用。可以采取使用量计费,或者其他多种套餐订阅模式”。而几乎每个相关主题的文章或演讲会举的例子都是Salesforce.com,虽然他们是SaaS领域里主要的供应商,但是要知道,SaaS有多种不同的类型。客户关系管理、人力资源管理、云端备份、协作平台、会计审核平台、服务支持中心管理、托管服务和网页/电子邮件过滤等等,不胜枚举。

对于供应商和客户来说,可以明显的看出经济效益,用户使用SaaS的成本,和自己购买软件加上布署的成本比起来是吸引的多。因为集中化的特质,SaaS供应商可以更迅速和容易地去更新以及管理软件和服务,可以直接观察客户使用模式来改善应用程序。而它的可扩展性和以量计价模式对于客户和供应商来说都极具吸引力。另外,它也提供更有弹性的整合能力和开放界面,许多SaaS供应商开始提供社群媒体模式的协作功能或开放界面(APIs)。

虽然SaaS能够提供灵活和具有成本效益的应用使用环境来取代传统模式,但它并非没有风险。因为转移到托管平台,而不是留在自己内部,企业必然会牺牲许多对于营运环境的控制。特别是在SaaS里,你几乎只能选择要上传或不上传某些数据,而剩下的就不是你能掌控了。但是你还是得为自己的数据保护负起法律和监管责任。

SaaS环境下的风险有许多种,而且大多数都和它所提供的好处相关。正如前面提到的,你的供应商透过某些网络分析来了解你对服务平台的使用状况,他们也能够存取你所有的数据,这会产生未经授权存取或被内部员工监控的风险。

系统的集中化特质和多租户(Multi-tenanted)环境底下的单一设定模式意味着,如果有一个漏洞影响到一个客户,那么很有可能会让其他客户也都受到相同的影响。EPSILON数据外泄事件就是一个最近的例子,而它也影响了许多使用同一个SaaS供应商的Fortune 500大公司。弱点攻击可能牵涉的范围很广。如果没有正确地设计,开发和设定的话,多数SaaS供应商会使用的常见协定和软件堆叠,例如HTTP、XML / SOAP、JSON、CSS和JavaScript,都有现成并且常常会被利用的漏洞。如果服务平台提供更大的弹性来允许客制化和外部整合(一个SaaS厂商的重要卖点),就越有机会让一些客户产生出漏洞,而让其他厂商也承受被攻击的后果。这是多租户环境下的必然后果。

五个关键的安全问题要问你的SaaS供应商:

1.渗透测试 - 如何以及多常进行整个环境的渗透测试,是否有能力自己独立对部分环境进行渗透测试?如果没有常常进行深入的渗透测试,你就不能得知当前安全状况的全貌。

2.数据安全 - 在使用资源共享的SaaS供应商数据中心时,如何对储存和传输中的数据进行加密?谁可以拿到加密金钥?是否有做权责区分(separation of duties),并将加密金钥和数据维护分开负责?供应商是否能提供你SAS 70报告?

3.多租户 - 是否有提供单一租户托管的选项?还要确认单一租户是否只包括应用程序,还是也包括数据储存的部份?

4. 灾难复原 - 当发生灾难性故障、受到外部入侵或数据遗失时,有准备备份和回复的程序吗?备份的数据储存在哪里(再次提醒,需要加密)以及如何有效地回复?

5.用户验证 - SaaS应用程序的登入程序为何?是否使用多因子认证?是否可以和客户正在使用中的认证机制做整合?

本文来自:硅谷动力

(责任编辑:王旭东)

时间: 2024-10-24 11:35:48

五大质问SaaS供应商的云安全问题的相关文章

SaaS供应商云安全问题的五大质问

SaaS持续成长中被企业和家庭用户所接受跟据Gartner在2011年7月所公布的消息,SaaS的营收规模在2010年达到100亿美元,而且还在成长中.事实上,Gartner公司预估在2011年会成长20%以上,来到121亿美元.根据Gartner对SaaS的定义,软件"被一个或多个供应商所拥有.提供和远端管理.供应商 透过通用的程序代码和数据设定来提供应用程序,而且采取一对多的模式来提供给签约客户随时取用.可以采取使用量计费,或者其他多种套餐订阅模式".而几乎每个相关主题的文章或演讲

SaaS供应商的安全问题

问题描述 对于供应商和客户来说,可以明显的看出经济效益,用户使用SaaS的成本,和自己购买软体加上布署的成本比起来是吸引的多.因为集中化的特质,SaaS供应商可以更迅速和容易地去更新以及管理软体和服务,可以直接观察客户使用模式来改善应用程式.而它的可扩展性和以量计价模式对于客户和供应商来说都极具吸引力.另外,它也提供更有弹性的整合能力和开放介面,许多SaaS供应商开始提供社群媒体模式的协作功能或开放介面(APIs).五个关键的安全问题要问你的SaaS供应商:1–渗透测试–如何以及多常进行整个环境

阿里巴巴新征途:收购美国SaaS供应商Vendio

"一切皆服务",惠普高级副总裁兼首席策略和技术官Shane Robison曾这样预言.在电子商务领域,阿里巴巴不仅要实现这一理想,而且正致力于将此理想置于一个数据共享平台之上,实现电子商务端到端服务. 近期,阿里巴巴收购美国电子商务SaaS供应商Vendio的消息再次引起关注.它标志着阿里巴巴又向全程全网电子商务的目标向前迈进了一步.阿里巴巴会将全球速卖通与Vendio平台的后台直接打通,Vendio上超过8万商家将可以实现经由Vendio平台从阿里巴巴供应商网络中进货,然后通过同一平

如果用户的SaaS供应商破产该怎么办?

2013年,云存储供应商Nirvanix公司关闭了其业务.该公司一直在与Amazon Web Services,谷歌计算引擎和微软Azure进行市场竞争,并陷入这些巨头之间的价格战.该公司聘请了一些知名的首席执行官,其中包括社交游戏公司Zynga的Debra Chrapaty.但是,Nirvanix公司只提供存储服务,并没有提供更多的服务,所以当市场竞争开始变得激烈时,该公司由于各种因素不得不退出.Nirvanix公司是云存储的行业先驱,但宣布关闭之后,最终只给客户两周的时间来检索和移动他们的数

中小企业挑选SaaS供应商的10个建议

SaaS是Software-as-a-service(软件即服务)的简称,是随着互联网技术的发展和应用软件的成熟,而在21世纪开始兴起的一种完全创新的软件应用模式.它与"on-demand software"(按需软件),the application service provider(ASP,应用服务提供商),hosted software(托管软件)所具有相似的含义. 它是一种通过Internet提供软件的模式,厂商将应用软件统一部署在自己的服务器上,客户可以根据自己实际需求,通过

如何正确选择Saas,以下十条告诉你

中小企业为了寻求效率,可能做出选择SaaS.不过也不是那样容易,必须选择的解决方案符合SaaS应用的一些原则,它才会给你带来相应回报. 如今,SaaS正在改变整个IT产业的格局.如果我们把IT行业看成是一个大舞台,那么原来的IT公司就是演员,而SaaS服务供应商们就是引座员(有时它们也是演员),用户则是观众.在舞台上,各个厂商极力展示自己的优势--功能.成本.效率,想方设法来吸引用户的注意.这意味着,客户在选择适合自己的IT厂商时,可以挑肥拣瘦. 不过,如果用户真的需要选一个SaaS解决方案,就

研究人员发现各种云架构存在“大量”安全漏洞

德国研究人员称,他们在亚马逊Web服务(AWS)中发现了一些错误,由此他们 认为,在很多云架构中也存在着类似的错误,可能导致攻击者 获取管理权限,从而盗取所有用户的数据.虽然研究人员称他们已将这些安全漏洞告知了AWS,而且AWS已经修复了这些漏洞,但他们认为同样类型的攻击针对其他的云服务同样有效,"因为相关的Web服务标准无法匹配性能和安全."德国波鸿鲁尔大学的一个研究团队利用多种XML签名封装攻击获取了不少客户账号的管理员权限, 然后可以创建客户云的新实例,可以添加镜像或删除镜像.在

揭秘云安全的五大盲区

当我在阅读各种博客.IT 产业分析以及媒体报导时,我发现许多矛盾的观点.某些作者 认为云计算较为安全,有些则特别强调新的安全挑战.由于"云"的概念目前仍在雏形阶段,因此到处充斥着许多似是而非的论点.以下是我最常听到的五大云计算盲区: 盲区1 基础架构服务(Infrastructure-as-a-Service,简称 IaaS) 供应商所提供的虚拟私人"云"就像企业内部数据中心一样安全 虚拟私人"云"是IaaS领域所衍生出来的新兴概念,可让企业 透

云安全扫盲进行时 揭秘云安全五大盲区

当我在阅读各种博客.IT 产业分析以及媒体报导时,我发现许多矛盾的观点.某些作者认为云计算较为安全,有些则特别强调新的安全挑战.由于"云"的概念目前仍在雏形阶段,因此到处充斥着许多似是而非的论点.以下是我最常听到的五大云计算盲区: 盲区1 基础架构服务(Infrastructure-as-a-Service,简称 IaaS) 供应商所提供的虚拟私人"云"就像企业内部数据中心一样安全 虚拟私人"云"是IaaS领域所衍生出来的新兴概念,可让企业透过V