在面临SaaS云服务应用中的安全性问题时,密码管理不当和不安全协议威胁都将会对您的系统保密造成破坏或数据泄露,同时可能需要由您的企业来承担法律责任。在本文中,我们将探讨SaaS所带来的三大威胁,以及能够预先采取措施减轻这些威胁的战略。
本文的目的在于让大家明确,这里所探讨的三大威胁将是您自己能够采取措施而缓解的,而不是要靠供应商来解决。这其中的区别取决于你所使用的“模式”级别(例如SaaS,平台即 企业应要求SaaS云服务商提供的三类安全措施
在面临SaaS云服务应用中的安全性问题时,密码管理不当和不安全协议威胁都将会对您的系统保密造成破坏或数据泄露,同时可能需要由您的企业来承担法律责任。在本文中,我们将探讨SaaS所带来的三大威胁,以及能够预先采取措施减轻这些威胁的战略。
本文的目的在于让大家明确,这里所探讨的三大威胁将是您自己能够采取措施而缓解的,而不是要靠供应商来解决。这其中的区别取决于你所使用的“模式”级别(例如SaaS,平台即服务PaaS和基础设施即服务(IaaS)),正如国家标准与技术研究所关于云计算定义中所定义的那样。
请注意,当供应方的威胁仍然可以影响您的服务时,可以进行风险转移,这都是可以通过合同方式进行处理的。
在SaaS云服务中最具威胁的因素是什么?
由于SaaS模式一般是基于一个瘦型或Web客户端,或一组Web服务,因此大多数威胁都被留给了供应商。而事实上,供应商处理了几乎所有的威胁问题。这其中对于合同的理解和恰当处理是很重要的。
尽管如此,经验表明SaaS云服务产品中您必须处理的三大威胁如下:
易损证书
不安全协议
基于Web的应用缺陷
易损或不安全的证书
所有有安全需求的云应用都需要用户登录。有许多安全机制可提高访问安全性,比如说通行证或智能卡,而最为常用的方法是可重用的用户名和密码。对于那些缺乏标准管理的证书,密码的强度最小(例如需要的长度和字符集过短),也没有密码管理(过期,历史)。
