DoSECU 安全分析 4月21日消息:使用软件及服务的企业通常都会托管大量的价值高的数据在SaaS供应商那里,就像你将资产存在银行里而不是在自己的地下室,问题是,地下室的墙壁足够坚固么?
目前,越来越多的软件及服务应用成为想要消减IT费用的企业的理想选择。根据Gartner Research最近的一项报告,90%的企业计划维持或增加他们对SaaS的使用。就算是在现在这样一个经济衰退时期,SaaS的使用率依然保持快速增长的趋势。
然而,约62%的企业告诉Gartner,他们对传输到防火墙之外的数据的安全表示担忧。事实上,将数据迁移到SaaS应用上节约费用的同时也增加了数据安全的风险。安全、一体化和法规遵从挑战在复杂性和风险上迅速增加。导致SaaS用户被迫扩展安全机制到超出防火墙的控制范围,来确保他们可以强制访问并满足法规遵从的要求。
"当SaaS遇到身份和Web安全管理时,已经过时的东西再次成为流行,现有的身份管理系统不能很好地处理企业之外的数据传输和存储。"云安全厂商Symplified首席技术官Darren Platt说。
一体化
Platt表示,SaaS应用安全的部分问题是如何对组成部分进行分层。各种Web访问管理产品与其余Web访问管理系统的结合存在问题。
例如,为了支持SaaS应用不同水平用户的单点登录,厂商往往生产单独的产品来完成不同的任务。其结果就是,认证和授权政策以及审计成了挂在Web访问管理系统边上的一些多余的东西。
"Web访问管理系统需要适用于地面和云的应用。不能提供所需要的东西。"Platt表示。
共享的云摇摇欲坠
另一个SaaS导致的安全风险在于一些SaaS厂商储存数据的方式。但是这反过来又会造成安全威胁。
思科安全公司产品线管理者Joel McFarland表示,"安全威胁的出现是因为人们在托管或共享的环境中为单独的用户储存数据。"
他解释道,一个用户改变配置将会影响到其他的用户(数据被SaaS供应商储存在附近的云中)。当多个用户共享一个通用的SaaS传输结构的时候,安全就会受到威胁了。
我们可将这一过程看作是用坚实的墙壁分割一栋建筑作为办公室。如果这堵墙建造得不够完善,那么一间办公室的员工将可以隔着墙壁偷听对方的谈话。小偷也可以轻易地打破这堵单薄的墙得到另一边的东西。
McFarland说:"专门的基础设施就不会引起上述类型的安全威胁。"
创新
Platt表示,第一代访问管理系统对于内部应用来说是强大的。然而,同样的产品不会很好地解决外部应用的问题。
他指出,为了解决这个安全问题,下一代产品将必须同样处理访问管理,无论数据被放在哪里。同时,Web1.0厂商坚持他们创造出的产品。
Platt预测:"我们没有看到他们正在改进这一新的能力,我们将会看到其他的初创公司在这一新的领域中找到自己的位置。"
继续阅读:SaaS 安全遭遇困境(2)