伴隨著SaaS的成長，更多的用戶接受了這種服務(wù)形式，然而在云計算唄用戶戰(zhàn)略和關(guān)鍵業(yè)務(wù)越來越的現(xiàn)在，安全問題成為SaaS用戶最擔(dān)憂的事情。

“安全問題是阻止企業(yè)選擇SaaS的首要原因，”Forrester分析師Liz Herbert近日表示。

云計算資源比傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)更加高度集中化，很大程度上是因為虛擬技術(shù)允許單個服務(wù)器承載很多虛擬機(jī)器以及多個客戶的數(shù)據(jù)。

如果承載15臺虛擬機(jī)器的服務(wù)器被攻擊，“那么15臺機(jī)器都將出于危險之中，”Gartner分析師Neil MacDonald表示。

在選擇SaaS之前有很多安全風(fēng)險問題需要考慮，以下我們將主要討論五個安全問題：

1.云計算中的身份驗證并不成熟

Forrester分析師Chenxi Wang表示，云供應(yīng)商本身并不會周全地在他們的云計算平臺中加入身份驗證服務(wù)(通常存在于企業(yè)防火墻后面的服務(wù))。有一些第三方技術(shù)可以讓IT部門加強(qiáng)云計算中基于角色的訪問控制。但總體而言，“這個領(lǐng)域目前仍然處于早期階段，”她表示。

谷歌有一個“安全數(shù)據(jù)連接器”，它能夠在客戶數(shù)據(jù)和谷歌業(yè)務(wù)應(yīng)用程序之間形成一個加密連接，同時讓客戶自己控制哪些員工可以訪問谷歌應(yīng)用程序資源。

但是這種方法可能很難處理，因為使用多個SaaS應(yīng)用程序的客戶會發(fā)現(xiàn)需要處理很多不同的安全工具，第三方產(chǎn)品至少能夠提供連接到很多不同類型SaaS應(yīng)用程序的優(yōu)勢。

云計算中身份和訪問管理還有很長的路要走，云安全聯(lián)盟認(rèn)為。

“對企業(yè)應(yīng)用程序的身份驗證和訪問控制進(jìn)行管理仍然是IT部門面臨的最大挑戰(zhàn)，”根據(jù)云安全聯(lián)盟的研究顯示，“雖然企業(yè)可以部署沒有良好身份驗證和訪問管理戰(zhàn)略的云計算服務(wù)，但從長期來看，將企業(yè)的身份驗證服務(wù)擴(kuò)展到云服務(wù)中是非常必要的。”

不過，云安全聯(lián)盟表示，SaaS的發(fā)展速度已經(jīng)超越了建立全面行業(yè)標(biāo)準(zhǔn)的速度，該組織表示“對用戶資料文件有限的專業(yè)支持”，并且包括服務(wù)供應(yīng)標(biāo)記語言(SPML)的行業(yè)標(biāo)準(zhǔn)在幾年來都沒有被更新。

2.云標(biāo)準(zhǔn)很薄弱

“我們已經(jīng)通過了SAS 70 審計，”這是很多云服務(wù)供應(yīng)商吹捧其安全認(rèn)證的依據(jù)之一。SAS 70是一種旨在顯示服務(wù)供應(yīng)商對數(shù)據(jù)有足夠控制能力的審計標(biāo)準(zhǔn)。這種標(biāo)準(zhǔn)的制定并沒有考慮云服務(wù)的情況，但它現(xiàn)在卻已經(jīng)成為云服務(wù)標(biāo)準(zhǔn)的基準(zhǔn)。

分析師表示，比SAS 70更好的是ISO 27001，國際標(biāo)準(zhǔn)化阻止公布的信息安全規(guī)范。

ISO 27001是一個相當(dāng)全面的標(biāo)準(zhǔn)，它涵蓋了很多客戶關(guān)心的運(yùn)行安全方面的問題。“這對于我來說，至少是評估SaaS供應(yīng)商是否成熟的一個基本依據(jù)，”Wang表示。

ISO27001“并不完美，但是卻是往正確的方向邁進(jìn)了一步，”MacDonald表示，“這是最好的標(biāo)準(zhǔn)，但這并不意味著這樣就已經(jīng)足夠。”

然而，將你的數(shù)據(jù)交給通過ISO27001標(biāo)準(zhǔn)的供應(yīng)商并不能保證你的數(shù)據(jù)的安全性。調(diào)查發(fā)現(xiàn)，很多公司自稱符合ISO 27001標(biāo)準(zhǔn)，然后卻承認(rèn)“在特權(quán)用戶管理方面存在不足”，包括在用戶間管理員帳戶的共享以及向用戶授予非必要的更寬泛的特權(quán)。

3. 保密

云供應(yīng)商認(rèn)為他們能夠比一般客戶本身更好地保護(hù)數(shù)據(jù)安全，并且SaaS實際上比大多數(shù)人所想象的更加安全。但是很多客戶覺得這很難相信，因為SaaS供應(yīng)商通常對于他們的安全過程都相當(dāng)保密。

特別是，很多云服務(wù)供應(yīng)商很少會發(fā)布關(guān)于他們數(shù)據(jù)中心及運(yùn)行的詳細(xì)數(shù)據(jù)，并聲稱這樣做將會破壞安全性。然而，客戶和行業(yè)專家們早已受夠了所有懸而未決的問題以及保密協(xié)議。

Gartner分析師近日指控Amazon首席技術(shù)官Werner Vogels對于Amazon的內(nèi)部安全措施沒有提供足夠透明性。在一般情況下，該分析公司表示，當(dāng)供應(yīng)商完全保密的情況下，客戶將要承擔(dān)所有安全責(zé)任。

“如果供應(yīng)商不提供透明度，那并不是我們不信任他們，而是他們沒有給我們足夠的證據(jù)讓我們來信任他們，”MacDonald表示。

如果供應(yīng)商不提供透明度，客戶需要積極詢問關(guān)于數(shù)據(jù)中心如何被保護(hù)以及供應(yīng)商如何在多租戶系統(tǒng)隔離數(shù)據(jù)的細(xì)節(jié)信息。

“問題是他們是如何為多租戶提供服務(wù)的，”MacDonald表示，“需要給我們所有技術(shù)詳細(xì)信息，從應(yīng)用程序本身到存儲數(shù)據(jù)的應(yīng)用程序，我想知道我們的數(shù)據(jù)是如何與其他租戶的數(shù)據(jù)隔離的。”

分析SaaS應(yīng)用程序的安全的能力甚至比分析企業(yè)內(nèi)部系統(tǒng)安全的能力更加有限，但這不應(yīng)該阻礙客戶要求供應(yīng)商提供必要的索賠。

Gartner分析師Jay Heiser表示，“對供應(yīng)商的言論表示質(zhì)疑，要求書面或者其他形式的證據(jù)。”

服務(wù)水平協(xié)議(SLA)有時候讓人混淆，但至少在理論上來說，企業(yè)應(yīng)該能夠接受服務(wù)水平協(xié)議的有力保證，特別是當(dāng)他們有時間以及具備專業(yè)知識在事先與供應(yīng)商進(jìn)行談判時。

“整個SaaS環(huán)境都是受到SLA驅(qū)動的，”技術(shù)咨詢和外包公司Capgemini首席技術(shù)官Joe Coyle表示，“如果你真的仔細(xì)想想，如果SaaS不是基于SLA的話，你真的沒什么可做的。”

在某些情況下，如果供應(yīng)商愿意，客戶可能可以調(diào)來自己的專家并試圖進(jìn)入供應(yīng)商的網(wǎng)絡(luò)進(jìn)行安全測試。

4.訪問所有區(qū)域增加便利性，但同時也帶來風(fēng)險

SaaS的最大優(yōu)點(diǎn)(即業(yè)務(wù)應(yīng)用程序可以在任何有互聯(lián)網(wǎng)連接的地方被訪問)也帶來新的風(fēng)險。隨著筆記本電腦和智能手機(jī)的普及，SaaS成為IT部門確保端點(diǎn)安全的重點(diǎn)關(guān)注對象。

“由于SaaS本身的性質(zhì)，它可以隨時隨地被訪問，”賽門鐵克托管服務(wù)高級副總裁Rowan Trollope表示，“如果我決定將我的電子郵件放到Gmail，任何一個員工都可能通過咖啡店的無線網(wǎng)絡(luò)來登錄，”這是SaaS的眾多優(yōu)點(diǎn)之一，但同時這也是一個缺點(diǎn)。端點(diǎn)并不是必然安全的。

維持對保存在本地服務(wù)器上的電子郵件和文件的控制比在云服務(wù)中的更加容易，Trollope表示。

使用SaaS的企業(yè)需要部署政策來控制連接性，MacDonald表示。例如，客戶可能會與SaaS供應(yīng)商合作以確保某項服務(wù)智能從某些IP地址被訪問，并且要求遠(yuǎn)程用戶通過VPN。

訪問權(quán)限也可以通過使用思科或者Blue Coat的安全web網(wǎng)關(guān)設(shè)備來進(jìn)行管理，這些設(shè)備可以控制用戶與云服務(wù)之間的連接。例如，企業(yè)可以允許員工訪問Facebook，但阻止聊天功能。這種阻止對某種功能的訪問也可以運(yùn)用于以業(yè)務(wù)為重點(diǎn)的云服務(wù)中，MacDonald表示。

另外還有在IT部門不知情的情況下，員工訪問SaaS產(chǎn)品的問題。阻止這個問題的關(guān)鍵在于教育員工以及使用不同的網(wǎng)絡(luò)監(jiān)控和web過濾技術(shù)。

5.你并不總是知道你的數(shù)據(jù)的位置

在高度虛擬化系統(tǒng)，數(shù)據(jù)和虛擬機(jī)可以從一個國家動態(tài)地轉(zhuǎn)移到另一個國家以確保負(fù)載平衡需求以及其他因素。

不過這仍然是比較少見的功能，即使數(shù)據(jù)存儲在一個國家內(nèi)，客戶也需要能夠確認(rèn)數(shù)據(jù)的位置以滿足監(jiān)管要求，這也是EMC正在開發(fā)跟蹤和驗證云網(wǎng)絡(luò)中虛擬機(jī)位置的技術(shù)，但是這種技術(shù)要到明年才會面市，并且它要求EMC、VMware以及英特爾產(chǎn)品的整合。

“現(xiàn)在，沒有任何技術(shù)可以驗證虛擬機(jī)的位置，”EMC公司VMware技術(shù)副總裁Chad Sakac表示，“沒有任何失誤可以阻止你將一個虛擬機(jī)轉(zhuǎn)移到世界上任何位置，更重要的是，并沒有辦法對這種轉(zhuǎn)移進(jìn)行審計。”