《企業網D1Net》11月4日訊
安全即服務是一種云服務時代的產物,提供了低成本高質量的安全服務,非常適應目前網絡時代的發展潮流。不過,世界上并不存在完美的服務,因此安全即服務必然也是如此。它會在一定程度上給企業用戶帶來風險,從而導致企業信息泄露的危險。
安全即服務的風險
1. 云供應商對你的數據擁有一定程度的訪問權限。云供應商必須謹慎處理安全相關的數據,因為這些數據的泄露可能導致多個數據泄露事故。更全面的云計算服務應使用加密技術,但這里仍然存在供應商密鑰管理的問題。對于需要擁有最高數據保密性的應用的企業,最好考慮使用內部解決方案。
2. 安全即服務將是從互聯網訪問。對于內部系統,安全專業人員不需要考慮這個風險,在過去,將內部防火墻管理工具暴露在互聯網從來都是不被接受的做法。這些服務器的身份驗證系統必須提供強大的多因素身份驗證,以確保適當的保護水平。你還需要考慮潛在的DoS攻擊,如果沒有強大的保護,攻擊者可能會修改服務或者阻止企業管理或訪問這些服務。
3. 安全即服務供應商間輸出服務的開放標準不太可能。使用這些服務的企業需要明白供應商間的任何切換將是完全手動的操作,包括在新供應商處重新建立防火墻規則、虛擬機配置和身份驗證方法。
4. 企業應該進行詳細的供應商盡職調查審計,以對待任何其他云服務供應商的方式來對待安全即服務。企業應該仔細選擇供應商,并調查其財務狀況,以確保他們不會突然人間蒸發。徹底檢查服務供應商的信息安全狀態,從SAS-70或者SSAE-16審計報告以及漏洞評估報告開始。企業需要完全信任云供應商,所以,這種審計是至關重要的。
5. 對于基于云計算的安全服務,合規是另一個難以解決的問題。一個服務可以提供一流的審計報告,并滿足所有盡職調查的技術要求,然而,卻可能仍然不能滿足合約或法律協議,例如HIPAA法案要求的商業伙伴合約(Business Associate Agreement)。這種情況正在改善,但企業必須了解安全即服務供應商將如何滿足其特定的合規要求。
D1Net評論:
信息安全涉及到企業機密,因此很多企業會非常小心謹慎,因此對于云服務的安全性也會有所顧忌,這是難以避免。因此,這就是安全即服務天使面容下一道難以掩飾的傷疤——風險程度相對較高。企業在選擇安全服務時必須清晰地看到它的優點與風險,切忌盲從。
京公網安備 11010502049343號