在选择SaaS与云计算之前有很多安全风险问题需要考虑,以下我们将主要讨论四个SaaS与云计算安全问题:
一、云标准很薄弱
ISO27001是一个相当全面的标准,它涵盖了很多客户关心的运行安全方面的问题。“这对于我来说,至少是评估SaaS供应商是否成熟的一个基本依据,”Wang表示。将你的数据交给通过ISO27001标准的供应商并不能保证你的数据的安全性。调查发现,很多公司自称符合ISO27001标准,然后却承认“在特权用户管理方面存在不足”,包括在用户间管理员帐户的共享以及向用户授予非必要的更宽泛的特权。
二、云计算中的身份验证并不成熟
Forrester分析师Chenxi Wang表示,云供应商本身并不会周全地在他们的云计算平台中加入身份验证服务(通常存在于企业防火墙后面的服务)。有一些第三方技术可以让IT部门加强云计算中基于角色的访问控制。但总体而言,“这个领域目前仍然处于早期阶段,”她表示。
“对企业应用程序的身份验证和访问控制进行管理仍然是IT部门面临的最大挑战,”根据云安全联盟的研究显示,“虽然企业可以部署没有良好身份验证和访问管理战略的云计算服务,但从长期来看,将企业的身份验证服务扩展到云服务中是非常必要的。”
三、保密
云供应商认为他们能够比一般客户本身更好地保护数据安全,并且SaaS实际上比大多数人所想象的更加安全。但是很多客户觉得这很难相信,因为SaaS供应商通常对于他们的安全过程都相当保密。
特别是,很多云服务供应商很少会发布关于他们数据中心及运行的详细数据,并声称这样做将会破坏安全性。然而,客户和行业专家们早已受够了所有悬而未决的问题以及保密协议。
在某些情况下,如果供应商愿意,客户可能可以调来自己的专家并试图进入供应商的网络进行安全测试。
四、你并不总是知道你的数据的位置
不过这仍然是比较少见的功能,即使数据存储在一个国家内,客户也需要能够确认数据的位置以满足监管要求,这也是EMC正在开发跟踪和验证云网络中虚拟机位置的技术,但是这种技术要到明年才会面市,并且它要求EMC、VMware以及英特尔产品的整合。
“现在,没有任何技术可以验证虚拟机的位置,”EMC公司VMware技术副总裁ChadSakac表示,“没有任何失误可以阻止你将一个虚拟机转移到世界上任何位置,更重要的是,并没有办法对这种转移进行审计。”