yonglin

随着SaaS 的日益普遍，关于SaaS的安全问题也随之而来。成本问题曾经是潜在SaaS客户最头痛的问题，但是现在，随着越来越多的云网络被用于战略和关键任务业务应用，安全问题名列榜首。


     云标准很薄弱ISO27001是一个相当全面的标准，它涵盖了很多客户关心的运行安全方面的问题。这对于我来说，至少是评估SaaS供应商是否成熟的一个基本依据。


     然而，将你的数据交给通过ISO27001标准的供应商并不能保证你的数据的安全性。调查发现，很多公司自称符合ISO27001标准，然后却承认“在特权用户管理方面存在不足”，包括在用户间管理员帐户的共享以及向用户授予非必要的更宽泛的特权。


     “对企业应用程序的身份验证和访问控制进行管理仍然是IT部门面临的最大挑战，”根据云安全联盟的研究显示，“虽然企业可以部署没有良好身份验证和访问管理战略的云计算服务，但从长期来看，将企业的身份验证服务扩展到云服务中是非常必要的。”


     保密云供应商认为他们能够比一般客户本身更好地保护数据安全，并且SaaS实际上比大多数人所想象的更加安全。但是很多客户觉得这很难相信，因为SaaS供应商通常对于他们的安全过程都相当保密。


     特别是，很多云服务供应商很少会发布关于他们数据中心及运行的详细数据，并声称这样做将会破坏安全性。然而，客户和行业专家们早已受够了所有悬而未决的问题以及保密协议。


     在某些情况下，如果供应商愿意，客户可能可以调来自己的专家并试图进入供应商的网络进行安全测试。


     你并不总是知道你的数据的位置不过这仍然是比较少见的功能，即使数据存储在一个国家内，客户也需要能够确认数据的位置以满足监管要求，这也是EMC 正在开发跟踪和验证云网络中虚拟机位置的技术，但是这种技术要到明年才会面市，并且它要求EMC、VMware 以及英特尔 产品的整合。