隨著SaaS的日益普遍，關(guān)于SaaS的安全問(wèn)題也隨之而來(lái)。成本問(wèn)題曾經(jīng)是潛在SaaS客戶(hù)最頭痛的問(wèn)題，但是現(xiàn)在，隨著越來(lái)越多的云網(wǎng)絡(luò)被用于戰(zhàn)略和關(guān)鍵任務(wù)業(yè)務(wù)應(yīng)用，安全問(wèn)題名列榜首。

在選擇SaaS之前有很多安全風(fēng)險(xiǎn)問(wèn)題需要考慮，以下我們將主要討論五個(gè)安全問(wèn)題：

一、云標(biāo)準(zhǔn)很薄弱

ISO27001是一個(gè)相當(dāng)全面的標(biāo)準(zhǔn)，它涵蓋了很多客戶(hù)關(guān)心的運(yùn)行安全方面的問(wèn)題。“這對(duì)于我來(lái)說(shuō)，至少是評(píng)估SaaS供應(yīng)商是否成熟的一個(gè)基本依據(jù)，”Wang表示。

然而，將你的數(shù)據(jù)交給通過(guò)ISO27001標(biāo)準(zhǔn)的供應(yīng)商并不能保證你的數(shù)據(jù)的安全性。調(diào)查發(fā)現(xiàn)，很多公司自稱(chēng)符合ISO27001標(biāo)準(zhǔn)，然后卻承認(rèn)“在特權(quán)用戶(hù)管理方面存在不足”，包括在用戶(hù)間管理員帳戶(hù)的共享以及向用戶(hù)授予非必要的更寬泛的特權(quán)。

二、云計(jì)算中的身份驗(yàn)證并不成熟

Forrester分析師ChenxiWang表示，云供應(yīng)商本身并不會(huì)周全地在他們的云計(jì)算平臺(tái)中加入身份驗(yàn)證服務(wù)(通常存在于企業(yè)防火墻后面的服務(wù))。有一些第三方技術(shù)可以讓IT部門(mén)加強(qiáng)云計(jì)算中基于角色的訪問(wèn)控制。但總體而言，“這個(gè)領(lǐng)域目前仍然處于早期階段，”她表示。

“對(duì)企業(yè)應(yīng)用程序的身份驗(yàn)證和訪問(wèn)控制進(jìn)行管理仍然是IT部門(mén)面臨的最大挑戰(zhàn)，”根據(jù)云安全聯(lián)盟的研究顯示，“雖然企業(yè)可以部署沒(méi)有良好身份驗(yàn)證和訪問(wèn)管理戰(zhàn)略的云計(jì)算服務(wù)，但從長(zhǎng)期來(lái)看，將企業(yè)的身份驗(yàn)證服務(wù)擴(kuò)展到云服務(wù)中是非常必要的。”

三、保密

云供應(yīng)商認(rèn)為他們能夠比一般客戶(hù)本身更好地保護(hù)數(shù)據(jù)安全，并且SaaS實(shí)際上比大多數(shù)人所想象的更加安全。但是很多客戶(hù)覺(jué)得這很難相信，因?yàn)镾aaS供應(yīng)商通常對(duì)于他們的安全過(guò)程都相當(dāng)保密。

特別是，很多云服務(wù)供應(yīng)商很少會(huì)發(fā)布關(guān)于他們數(shù)據(jù)中心及運(yùn)行的詳細(xì)數(shù)據(jù)，并聲稱(chēng)這樣做將會(huì)破壞安全性。然而，客戶(hù)和行業(yè)專(zhuān)家們?cè)缫咽軌蛄怂�有懸而未決的問(wèn)題以及保密協(xié)議。

在某些情況下，如果供應(yīng)商愿意，客戶(hù)可能可以調(diào)來(lái)自己的專(zhuān)家并試圖進(jìn)入供應(yīng)商的網(wǎng)絡(luò)進(jìn)行安全測(cè)試。

四、你并不總是知道你的數(shù)據(jù)的位置

不過(guò)這仍然是比較少見(jiàn)的功能，即使數(shù)據(jù)存儲(chǔ)在一個(gè)國(guó)家內(nèi)，客戶(hù)也需要能夠確認(rèn)數(shù)據(jù)的位置以滿(mǎn)足監(jiān)管要求，這也是EMC正在開(kāi)發(fā)跟蹤和驗(yàn)證云網(wǎng)絡(luò)中虛擬機(jī)位置的技術(shù)，但是這種技術(shù)要到明年才會(huì)面市，并且它要求EMC、VMware以及英特爾產(chǎn)品的整合。

“現(xiàn)在，沒(méi)有任何技術(shù)可以驗(yàn)證虛擬機(jī)的位置，”EMC公司VMware技術(shù)副總裁ChadSakac表示，“沒(méi)有任何失誤可以阻止你將一個(gè)虛擬機(jī)轉(zhuǎn)移到世界上任何位置，更重要的是，并沒(méi)有辦法對(duì)這種轉(zhuǎn)移進(jìn)行審計(jì)。”