美国礼来制药公司的首席安全总监Adrian Seccombe在上周接受采访时表示,认证和访问控制是保证网络服务安全的最有效途径之一。但他并不认为目前市场上的与软件即服务相关的网络ID和访问产品能满足大客户的需求。
Seccombe表示“用户可以使用软件即服务来加强管理认证和授权的能力”,但他补充说“目前多数的软件即服务市场都还不够成熟”。除此之外,Seccombe还认为目前多数以云为基础的ERP服务都无法完全满足他使用这些服务的安全需求。Seccombe是Jericho Forum董事会成员之一,这个组织是由倡导建立安全体制来保障信息自由流动的企业首席安全官组成的。
Freeform Dynamics的分析师乔恩.柯林斯表示,云计算和特别是软件即服务对企业而言都面临着挑战,因为他们必须完全改变对安全的思维方式。“问题是软件即服务挑战了安全的底线。传统上来说,如果你想保证数据的安全,你可以把它锁起来或者藏匿在别人不知道的地方。而现在情况改变了,你要把数据交给第三方来保管”。
柯林斯强调说,打算使用软件即服务的企业必须考虑数据的机密性,完整性和可用性。
由于IT专业人员必须信赖第三方存储的安全,数据的机密性就成为休眠数据或者存储数据的隐患。企业还必须将活动数据被中途拦截的风险考虑在内。
“信息在通过其他人的服务器时是否采取了足够的加密措施?事实上用户对于数据在软件即服务提供商和本地客户端之间的流向是毫无概念的”。
当数据通过其他人的系统时,数据的完整性也面临问题。柯林斯表示“事实上信息的改变本身就是风险。更令人恐慌的是企业对此并没有足够的重视”。
不过通过应用软件即服务能减轻部分安全风险。柯林斯表示“如果企业担心来自内部的威胁,或者通过第三方进行管理,信息就能比较容易的被锁定”。
另外,通过与在线服务提供商签订合同来执行安全协议也相对简便。柯林斯认为“有了第三方提供商的支持,你可以将加密和解密约定,那些人有访问权等内容作为合同的约定条款”。
软件即服务公司Qualys的首席安全总监Philippe Courtot也认为和第三方提供商签订合同能提升安全系数。“技术支持也可以约定为合同内容,这样你能保证数据得到安全维护,同时了解数据的备份和共享情况”。
Courtot表示欧美的企业在目前经济萧条的大环境下开始通过软件即服务来节约支出已经演变为大势所趋。节约成本当然是最重要的原因,而软件即服务在使用,配置和维护上的简单方便也成为推动软件即服务发展的次要因素。