【編者按】企業將業務遷移到云端,不可避免的涉及到安全問題,尤其是斯諾登事件以及OpenSSL出現“Heartbleed”安全漏洞之后,SaaS供應商要贏取客戶的信任,必須提高安全標準。作為企業的安全主管,首席信息安全官的責任更為重大,他除了管理企業的安全外,還要參與到企業業務的其他環節。作者列舉了SaaS的一些安全標準和措施,包括數據安全、數據局部性、網絡安全等多方面。本文來自DZone。
免費訂閱“CSDN大數據”微信公眾號,實時了解最新的大數據進展!
CSDN大數據,專注大數據資訊、技術和經驗的分享和討論,提供Hadoop、Spark、Imapala、Storm、HBase、MongoDB、Solr、機器學習、智能算法等相關大數據觀點,大數據技術,大數據平臺,大數據實踐,大數據產業資訊等服務。
在SaaS提供商提高安全標準(對客戶可見并可控)之前,用戶仍然需要控制潛在的合規風險。顯然,將業務應用移出企業,安全是最大的問題。
看不到用戶活動、沒有監控和限制訪問控制,SaaS對首席信息安全官(CISO)來說很嚴峻,特別是合規責任。為了減少安全問題,安全團隊(特別是企業)必須做很多工作,包括:
SaaS還在起步階段且發展迅速,提供商各不相同。因此,如果用戶想評估第三方SaaS提供商的安全漏洞或能力,必須問對問題。例如:
不同的訪問控制是如何形成顆粒狀的?
顯然,針對數據泄露,IT當前最大的問題是惡意或無意的誤用用戶憑據,特別是登錄信息。因此,有效的數據保護需要了解用戶活動,同樣包括管理的變化。
什么指標可用于報告?
考慮下是否可以創建同時讓首席信息主管、審計師以及董事會滿意的報告呢?企業數據安全能否滿足監管要求呢?它應該可以。
最后,必須了解SaaS應用的業務,特別是涉及數據的。另外,必須知道應用是否處理客戶的機密信息。這時就可以執行相關的合規清查。
SaaS安全問題
SaaS提供商需要保證用戶不能查看彼此的數據。以下是SaaS的一些安全標準和措施:數據安全、數據局部性、網絡安全、數據隔離、數據隱私、數據泄露、Web應用安全以及認證和授權。
客戶安全顧慮
從行業角度來說,計算需要關注大量的屬性,特別是安全方面的。起初,客戶對安全期待非常高。他們不會允許數據被托管到共享環境。這意味著云提供商必須停止公有云方案,并專注于私有云。
另外,客戶都很關心遵從性和提供商是否符合審計標準(SAS 70、 SOC 2、SOC 3 和SSAE 16)。有時,他們希望能夠檢查物理設施,一些SaaS供應商不允許這樣做。這是一個大忌。長遠來說,讓SaaS供應商控制的越多,風險就越大。但是,一旦你了解了需求,就可以和某個云提供商合作,使安全水平讓人滿意。
SaaS安全維度
云計算的安全性或許是如今最熱門的話題之一。考慮到SaaS安全是多維的且關系復雜。因此,要著眼于更大、全局的環境(物理、應用、網絡安全)。但是IaaS/PaaS連同擴展性、可用性、性能以及集成也需要考慮到。
快速部署以及定制/回收/多租戶是基于另一個維度,政策和程序則又是一個。因為基本上不可能在以上所有領域都做到最好,你可以根據用戶的容忍程度來決定或定義安全。
事實上,用戶通常在全面考慮之后,選擇適當的安全技術或機制,再定義自己的安全指標。因此,建議盡力嘗試以提供云計算安全保障的最佳實踐。
云安全囊括了多個方面和工具。
一些涉及的問題包括:
以上是一些(不是全部)領域。不像內部部署的應用和云,公有云又加入了兩個安全點,即因特網和內部的(但外部管理)云。
如今的第三方云供應商只向客戶提供有限的信息。不幸的是,他們不能準確回答關于用戶訪問異常的問題。例如,SaaS供應商不能直接回答這個關鍵問題:“在組織里,誰可以修改權限?”然而,調查內部攻擊時,這些信息很重要。
另外,對于正確引導SaaS供應商簡化客戶報告,還缺乏行業標準。即使有日志數據,如果在格式上未達成一致,企業客戶也面臨著挑戰以及高昂的集成過程。
結論
SaaS提供商任務艱巨,他們必須提高安全的可見性和可控性,使用戶相信他們有能力管理潛在的合規風險。將業務應用移出企業,通常要損失安全。
因此,首席信息安全官有責任減少安全問題。作為客戶必須有一個安全清單,SaaS安全標準是如今的熱門話題,SaaS供應商要贏得客戶的信任必須解決這些問題。
原文鏈接:Security Standards to Be Aware of with SaaS(編譯/ 海霞 責編/魏偉)
程序員人生,我編程,我富裕,記住wfuyu網,php教程,php學習,php手冊,CMS模版制作
聲明:本站大部分內容是作者原創,少部分收集于互聯網供大家一起學習,原版權很多不明,如有侵權請聯系本站,謝謝!
粵ICP備14040726號-1?? 2015-2020 程序員人生 版權所有
