企业SaaS选型中遭受五大安全问题拷问

2.云标准很薄弱

“我们已经通过了SAS 70 审计，”这是很多云服务供应商吹捧其安全认证的依据之一。SAS 70是一种旨在显示服务供应商对数据有足够控制能力的审计标准。这种标准的制定并没有考虑云服务的情况，但它现在却已经成为云服务标准的基准。

分析师表示，比SAS 70更好的是ISO 27001，国际标准化阻止公布的信息安全规范。

ISO 27001是一个相当全面的标准，它涵盖了很多客户关心的运行安全方面的问题。“这对于我来说，至少是评估SaaS供应商是否成熟的一个基本依据，”Wang表示。

ISO27001“并不完美，但是却是往正确的方向迈进了一步，”MacDonald表示，“这是最好的标准，但这并不意味着这样就已经足够。”

然而，将你的数据交给通过ISO27001标准的供应商并不能保证你的数据的安全性。调查发现，很多公司自称符合ISO 27001标准，然后却承认“在特权用户管理方面存在不足”，包括在用户间管理员帐户的共享以及向用户授予非必要的更宽泛的特权。

3. 保密

云供应商认为他们能够比一般客户本身更好地保护数据安全，并且SaaS实际上比大多数人所想象的更加安全。但是很多客户觉得这很难相信，因为SaaS供应商通常对于他们的安全过程都相当保密。

特别是，很多云服务供应商很少会发布关于他们数据中心及运行的详细数据，并声称这样做将会破坏安全性。然而，客户和行业专家们早已受够了所有悬而未决的问题以及保密协议。

Gartner分析师近日指控Amazon首席技术官Werner Vogels对于Amazon的内部安全措施没有提供足够透明性。在一般情况下，该分析公司表示，当供应商完全保密的情况下，客户将要承担所有安全责任。

“如果供应商不提供透明度，那并不是我们不信任他们，而是他们没有给我们足够的证据让我们来信任他们，”MacDonald表示。

如果供应商不提供透明度，客户需要积极询问关于数据中心如何被保护以及供应商如何在多租户系统隔离数据的细节信息。

“问题是他们是如何为多租户提供服务的，”MacDonald表示，“需要给我们所有技术详细信息，从应用程序本身到存储数据的应用程序，我想知道我们的数据是如何与其他租户的数据隔离的。”

分析SaaS应用程序的安全的能力甚至比分析企业内部系统安全的能力更加有限，但这不应该阻碍客户要求供应商提供必要的索赔。

Gartner分析师Jay Heiser表示，“对供应商的言论表示质疑，要求书面或者其他形式的证据。”

服务水平协议(SLA)有时候让人混淆，但至少在理论上来说，企业应该能够接受服务水平协议的有力保证，特别是当他们有时间以及具备专业知识在事先与供应商进行谈判时。

“整个SaaS环境都是受到SLA驱动的，”技术咨询和外包公司Capgemini首席技术官Joe Coyle表示，“如果你真的仔细想想，如果SaaS不是基于SLA的话，你真的没什么可做的。”

在某些情况下，如果供应商愿意，客户可能可以调来自己的专家并试图进入供应商的网络进行安全测试。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友