DoSECU 安全分析 4月21日消息:使用软件及服务的企业通常都会托管大量的价值高的数据在SaaS供应商那里,就像你将资产存在银行里而不是在自己的地下室,问题是,地下室的墙壁足够坚固么?
观点出现分歧
对SaaS用户来说构成安全数据的那些东西可能完全不同于SaaS厂商认为的安全的样子。这就是用户关心的安全问题的根源所在。
首席科学家和Fortify Software创始人Brian Chess说:"SaaS安全的一个大问题是,应用开发商可能比其他开发商更多的投资于安全。因此,潜在的问题就是应用程序用户必须有更好的安全基础。"
在加入Fortify Software以前,Chess是SaaS厂商NetSuite软件研发主管。
一致的安全政策
Chess表示,通过采用不同的帐户访问安全标准和其他的安全政策,SaaS厂商可偷工减料。他解释到,当销货力量政策在厂商和SaaS应用用户中出现不同的时候,那些试图通过钓鱼的方式得到数据的方式就会很容易了。
Chess说:"说到SaaS安全,应该是购买方需要提防的。目前没有固定的标准来确保你可以信任这些应用。"
他建议,有了这些规则在头脑中,使用SaaS应用的公司需要与应用供应商进行交流,确保他们二者的安全政策是一致的。
单独的空间
Chess指出,SaaS 还有一些独特的安全风险。一个就是用户信息更加暴露。任何可接入互联网并拥有密码的人都可以访问数据。
第二个安全风险是,SaaS供应商的目的都是谋取利润的企业。这意味着供应商往往在SaaS平台共享资源,包括服务器。
他解释,对于一个应用厂商来说可能存在的是,没有数据的分离不足以防止其他应用用户访问。Chess表示,正是这种诱惑让SaaS开发商和Web站点运营商同时陷入困境。
补充
产品开发商在前SaaS时代面临着生产更安全的软件的挑战。这是同样是他们今天的挑战。
Egress Software Technologies美国总裁Bob Egner表示,"这是意识到数据安全问题的企业的必经之路,是正常的"进化论"。"
他说,当谈到在集中的传输中共享数据时,数据的安全还是很大的难题。
Egner指出,是什么让云中的安全不同于传统的数据存储安全呢?答案就是,当数据被公司外部的计算机使用的时候,人们不能对敏感数据进行控制。
阅读前文:SaaS 安全遭遇困境(1)
