《企業(yè)網(wǎng)D1Net》11月4日訊
安全即服務(wù)是一種云服務(wù)時代的產(chǎn)物,提供了低成本高質(zhì)量的安全服務(wù),非常適應(yīng)目前網(wǎng)絡(luò)時代的發(fā)展潮流。不過,世界上并不存在完美的服務(wù),因此安全即服務(wù)必然也是如此。它會在一定程度上給企業(yè)用戶帶來風(fēng)險,從而導(dǎo)致企業(yè)信息泄露的危險。
安全即服務(wù)的風(fēng)險
1. 云供應(yīng)商對你的數(shù)據(jù)擁有一定程度的訪問權(quán)限。云供應(yīng)商必須謹(jǐn)慎處理安全相關(guān)的數(shù)據(jù),因?yàn)檫@些數(shù)據(jù)的泄露可能導(dǎo)致多個數(shù)據(jù)泄露事故。更全面的云計算服務(wù)應(yīng)使用加密技術(shù),但這里仍然存在供應(yīng)商密鑰管理的問題。對于需要擁有最高數(shù)據(jù)保密性的應(yīng)用的企業(yè),最好考慮使用內(nèi)部解決方案。
2. 安全即服務(wù)將是從互聯(lián)網(wǎng)訪問。對于內(nèi)部系統(tǒng),安全專業(yè)人員不需要考慮這個風(fēng)險,在過去,將內(nèi)部防火墻管理工具暴露在互聯(lián)網(wǎng)從來都是不被接受的做法。這些服務(wù)器的身份驗(yàn)證系統(tǒng)必須提供強(qiáng)大的多因素身份驗(yàn)證,以確保適當(dāng)?shù)谋Wo(hù)水平。你還需要考慮潛在的DoS攻擊,如果沒有強(qiáng)大的保護(hù),攻擊者可能會修改服務(wù)或者阻止企業(yè)管理或訪問這些服務(wù)。
3. 安全即服務(wù)供應(yīng)商間輸出服務(wù)的開放標(biāo)準(zhǔn)不太可能。使用這些服務(wù)的企業(yè)需要明白供應(yīng)商間的任何切換將是完全手動的操作,包括在新供應(yīng)商處重新建立防火墻規(guī)則、虛擬機(jī)配置和身份驗(yàn)證方法。
4. 企業(yè)應(yīng)該進(jìn)行詳細(xì)的供應(yīng)商盡職調(diào)查審計,以對待任何其他云服務(wù)供應(yīng)商的方式來對待安全即服務(wù)。企業(yè)應(yīng)該仔細(xì)選擇供應(yīng)商,并調(diào)查其財務(wù)狀況,以確保他們不會突然人間蒸發(fā)。徹底檢查服務(wù)供應(yīng)商的信息安全狀態(tài),從SAS-70或者SSAE-16審計報告以及漏洞評估報告開始。企業(yè)需要完全信任云供應(yīng)商,所以,這種審計是至關(guān)重要的。
5. 對于基于云計算的安全服務(wù),合規(guī)是另一個難以解決的問題。一個服務(wù)可以提供一流的審計報告,并滿足所有盡職調(diào)查的技術(shù)要求,然而,卻可能仍然不能滿足合約或法律協(xié)議,例如HIPAA法案要求的商業(yè)伙伴合約(Business Associate Agreement)。這種情況正在改善,但企業(yè)必須了解安全即服務(wù)供應(yīng)商將如何滿足其特定的合規(guī)要求。
D1Net評論:
信息安全涉及到企業(yè)機(jī)密,因此很多企業(yè)會非常小心謹(jǐn)慎,因此對于云服務(wù)的安全性也會有所顧忌,這是難以避免。因此,這就是安全即服務(wù)天使面容下一道難以掩飾的傷疤——風(fēng)險程度相對較高。企業(yè)在選擇安全服務(wù)時必須清晰地看到它的優(yōu)點(diǎn)與風(fēng)險,切忌盲從。