隨著SaaS的日益普遍，關于SaaS的安全問題也隨之而來。成本問題曾經是潛在SaaS客戶最頭痛的問題，但是現(xiàn)在，隨著越來越多的云網(wǎng)絡被用于戰(zhàn)略和關鍵任務業(yè)務應用，安全問題名列榜首。

　　“安全問題是阻止企業(yè)選擇SaaS的首要原因，”Forrester分析師Liz Herbert近日表示。

　　云計算資源比傳統(tǒng)網(wǎng)絡系統(tǒng)更加高度集中化，很大程度上是因為虛擬技術允許單個服務器承載很多虛擬機器以及多個客戶的數(shù)據(jù)。

　　如果承載15臺虛擬機器的服務器被攻擊，“那么15臺機器都將出于危險之中，”Gartner分析師Neil MacDonald表示。

　　在選擇SaaS之前有很多安全風險問題需要考慮，以下我們將主要討論五個安全問題：

　　1.云計算中的身份驗證并不成熟

　　Forrester分析師Chenxi Wang表示，云供應商本身并不會周全地在他們的云計算平臺中加入身份驗證服務(通常存在于企業(yè)防火墻后面的服務)。有一些第三方技術可以讓IT部門加強云計算中基于角色的訪問控制。但總體而言，“這個領域目前仍然處于早期階段，”她表示。

　　谷歌有一個“安全數(shù)據(jù)連接器”，它能夠在客戶數(shù)據(jù)和谷歌業(yè)務應用程序之間形成一個加密連接，同時讓客戶自己控制哪些員工可以訪問谷歌應用程序資源。

　　但是這種方法可能很難處理，因為使用多個SaaS應用程序的客戶會發(fā)現(xiàn)需要處理很多不同的安全工具，第三方產品至少能夠提供連接到很多不同類型SaaS應用程序的優(yōu)勢。

　　云計算中身份和訪問管理還有很長的路要走，云安全聯(lián)盟認為。

　　“對企業(yè)應用程序的身份驗證和訪問控制進行管理仍然是IT部門面臨的最大挑戰(zhàn)，”根據(jù)云安全聯(lián)盟的研究顯示，“雖然企業(yè)可以部署沒有良好身份驗證和訪問管理戰(zhàn)略的云計算服務，但從長期來看，將企業(yè)的身份驗證服務擴展到云服務中是非常必要的。”

　　不過，云安全聯(lián)盟表示，SaaS的發(fā)展速度已經超越了建立全面行業(yè)標準的速度，該組織表示“對用戶資料文件有限的專業(yè)支持”，并且包括服務供應標記語言(SPML)的行業(yè)標準在幾年來都沒有被更新。

　　2.云標準很薄弱

　　“我們已經通過了SAS 70 審計，”這是很多云服務供應商吹捧其安全認證的依據(jù)之一。SAS 70是一種旨在顯示服務供應商對數(shù)據(jù)有足夠控制能力的審計標準。這種標準的制定并沒有考慮云服務的情況，但它現(xiàn)在卻已經成為云服務標準的基準。

　　分析師表示，比SAS 70更好的是ISO 27001，國際標準化阻止公布的信息安全規(guī)范。

　　ISO 27001是一個相當全面的標準，它涵蓋了很多客戶關心的運行安全方面的問題。“這對于我來說，至少是評估SaaS供應商是否成熟的一個基本依據(jù)，”Wang表示。

　　ISO27001“并不完美，但是卻是往正確的方向邁進了一步，”MacDonald表示，“這是最好的標準，但這并不意味著這樣就已經足夠。”

　　然而，將你的數(shù)據(jù)交給通過ISO27001標準的供應商并不能保證你的數(shù)據(jù)的安全性。調查發(fā)現(xiàn)，很多公司自稱符合ISO 27001標準，然后卻承認“在特權用戶管理方面存在不足”，包括在用戶間管理員帳戶的共享以及向用戶授予非必要的更寬泛的特權。

　　3. 保密

　　云供應商認為他們能夠比一般客戶本身更好地保護數(shù)據(jù)安全，并且SaaS實際上比大多數(shù)人所想象的更加安全。但是很多客戶覺得這很難相信，因為SaaS供應商通常對于他們的安全過程都相當保密。

　　特別是，很多云服務供應商很少會發(fā)布關于他們數(shù)據(jù)中心及運行的詳細數(shù)據(jù)，并聲稱這樣做將會破壞安全性。然而，客戶和行業(yè)專家們早已受夠了所有懸而未決的問題以及保密協(xié)議。

　　Gartner分析師近日指控Amazon首席技術官Werner Vogels對于Amazon的內部安全措施沒有提供足夠透明性。在一般情況下，該分析公司表示，當供應商完全保密的情況下，客戶將要承擔所有安全責任。

　　“如果供應商不提供透明度，那并不是我們不信任他們，而是他們沒有給我們足夠的證據(jù)讓我們來信任他們，”MacDonald表示。

　　如果供應商不提供透明度，客戶需要積極詢問關于數(shù)據(jù)中心如何被保護以及供應商如何在多租戶系統(tǒng)隔離數(shù)據(jù)的細節(jié)信息。

　　“問題是他們是如何為多租戶提供服務的，”MacDonald表示，“需要給我們所有技術詳細信息，從應用程序本身到存儲數(shù)據(jù)的應用程序，我想知道我們的數(shù)據(jù)是如何與其他租戶的數(shù)據(jù)隔離的。”

　　分析SaaS應用程序的安全的能力甚至比分析企業(yè)內部系統(tǒng)安全的能力更加有限，但這不應該阻礙客戶要求供應商提供必要的索賠。

　　Gartner分析師Jay Heiser表示，“對供應商的言論表示質疑，要求書面或者其他形式的證據(jù)。”

　　服務水平協(xié)議(SLA)有時候讓人混淆，但至少在理論上來說，企業(yè)應該能夠接受服務水平協(xié)議的有力保證，特別是當他們有時間以及具備專業(yè)知識在事先與供應商進行談判時。

　　“整個SaaS環(huán)境都是受到SLA驅動的，”技術咨詢和外包公司Capgemini首席技術官Joe Coyle表示，“如果你真的仔細想想，如果SaaS不是基于SLA的話，你真的沒什么可做的。”

　　在某些情況下，如果供應商愿意，客戶可能可以調來自己的專家并試圖進入供應商的網(wǎng)絡進行安全測試。

　　4.訪問所有區(qū)域增加便利性，但同時也帶來風險

　　SaaS的最大優(yōu)點(即業(yè)務應用程序可以在任何有互聯(lián)網(wǎng)連接的地方被訪問)也帶來新的風險。隨著筆記本電腦和智能手機的普及，SaaS成為IT部門確保端點安全的重點關注對象。

　　“由于SaaS本身的性質，它可以隨時隨地被訪問，”賽門鐵克托管服務高級副總裁Rowan Trollope表示，“如果我決定將我的電子郵件放到Gmail，任何一個員工都可能通過咖啡店的無線網(wǎng)絡來登錄，”這是SaaS的眾多優(yōu)點之一，但同時這也是一個缺點。端點并不是必然安全的。

　　維持對保存在本地服務器上的電子郵件和文件的控制比在云服務中的更加容易，Trollope表示。

　　使用SaaS的企業(yè)需要部署政策來控制連接性，MacDonald表示。例如，客戶可能會與SaaS供應商合作以確保某項服務智能從某些IP地址被訪問，并且要求遠程用戶通過VPN。

　　訪問權限也可以通過使用思科或者Blue Coat的安全web網(wǎng)關設備來進行管理，這些設備可以控制用戶與云服務之間的連接。例如，企業(yè)可以允許員工訪問Facebook，但阻止聊天功能。這種阻止對某種功能的訪問也可以運用于以業(yè)務為重點的云服務中，MacDonald表示。

　　另外還有在IT部門不知情的情況下，員工訪問SaaS產品的問題。阻止這個問題的關鍵在于教育員工以及使用不同的網(wǎng)絡監(jiān)控和web過濾技術。

　　5.你并不總是知道你的數(shù)據(jù)的位置

　　在高度虛擬化系統(tǒng)，數(shù)據(jù)和虛擬機可以從一個國家動態(tài)地轉移到另一個國家以確保負載平衡需求以及其他因素。

　　不過這仍然是比較少見的功能，即使數(shù)據(jù)存儲在一個國家內，客戶也需要能夠確認數(shù)據(jù)的位置以滿足監(jiān)管要求，這也是EMC正在開發(fā)跟蹤和驗證云網(wǎng)絡中虛擬機位置的技術，但是這種技術要到明年才會面市，并且它要求EMC、VMware以及英特爾產品的整合。

　　“現(xiàn)在，沒有任何技術可以驗證虛擬機的位置，”EMC公司VMware技術副總裁Chad Sakac表示，“沒有任何失誤可以阻止你將一個虛擬機轉移到世界上任何位置，更重要的是，并沒有辦法對這種轉移進行審計。”

　　名詞解釋：

　　SaaS(Software-as-a-service)的意思是軟件即服務，SaaS的中文名稱為軟營或軟件運營。SaaS是基于互聯(lián)網(wǎng)提供軟件服務的軟件應用模式。作為一種在21世紀開始興起的創(chuàng)新的軟件應用模式，SaaS是軟件科技發(fā)展的最新趨勢。