SaaS安全风险问题需要考虑

“如果供应商不提供透明度，那并不是我们不信任他们，而是他们没有给我们足够的证据让我们来信任他们，”MacDonald表示。

如果供应商不提供透明度，客户需要积极询问关于数据中心如何被保护以及供应商如何在多租户系统隔离数据的细节信息。

“问题是他们是如何为多租户提供服务的，”MacDonald表示，“需要给我们所有技术详细信息，从应用程序本身到存储数据的应用程序，我想知道我们的数据是如何与其他租户的数据隔离的。”

分析SaaS应用程序的安全的能力甚至比分析企业内部系统安全的能力更加有限，但这不应该阻碍客户要求供应商提供必要的索赔。

Gartner分析师Jay Heiser表示，“对供应商的言论表示质疑，要求书面或者其他形式的证据。”

服务水平协议(SLA)有时候让人混淆，但至少在理论上来说，企业应该能够接受服务水平协议的有力保证，特别是当他们有时间以及具备专业知识在事先与供应商进行谈判时。

“整个SaaS环境都是受到SLA驱动的，”技术咨询和外包公司Capgemini首席技术官Joe Coyle表示，“如果你真的仔细想想，如果SaaS不是基于SLA的话，你真的没什么可做的。”

在某些情况下，如果供应商愿意，客户可能可以调来自己的专家并试图进入供应商的网络进行安全测试。

4.访问所有区域增加便利性，但同时也带来风险

SaaS的最大优点(即业务应用程序可以在任何有互联网连接的地方被访问)也带来新的风险。随着笔记本电脑和智能手机的普及，SaaS成为IT部门确保端点安全的重点关注对象。

“由于SaaS本身的性质，它可以随时随地被访问，”赛门铁克托管服务高级副总裁Rowan Trollope表示，“如果我决定将我的电子邮件放到Gmail，任何一个员工都可能通过咖啡店的无线网络来登录，”这是SaaS的众多优点之一，但同时这也是一个缺点。端点并不是必然安全的。

维持对保存在本地服务器上的电子邮件和文件的控制比在云服务中的更加容易，Trollope表示。

使用SaaS的企业需要部署政策来控制连接性，MacDonald表示。例如，客户可能会与SaaS供应商合作以确保某项服务智能从某些IP地址被访问，并且要求远程用户通过VPN。

访问权限也可以通过使用思科或者Blue Coat的安全web网关设备来进行管理，这些设备可以控制用户与云服务之间的连接。例如，企业可以允许员工访问Facebook，但阻止聊天功能。这种阻止对某种功能的访问也可以运用于以业务为重点的云服务中，MacDonald表示。

另外还有在IT部门不知情的情况下，员工访问SaaS产品的问题。阻止这个问题的关键在于教育员工以及使用不同的网络监控和web过滤技术。

5.你并不总是知道你的数据的位置

在高度虚拟化系统，数据和虚拟机可以从一个国家动态地转移到另一个国家以确保负载平衡需求以及其他因素。

不过这仍然是比较少见的功能，即使数据存储在一个国家内，客户也需要能够确认数据的位置以满足监管要求，这也是EMC正在开发跟踪和验证云网络中虚拟机位置的技术，但是这种技术要到明年才会面市，并且它要求EMC、VMware以及英特尔产品的整合。

“现在，没有任何技术可以验证虚拟机的位置，”EMC公司VMware技术副总裁Chad Sakac表示，“没有任何失误可以阻止你将一个虚拟机转移到世界上任何位置，更重要的是，并没有办法对这种转移进行审计。”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友