当云计算涉及到通过软件服务交付时,必要的保护措施是独立的软件提供商首要关心的事情,他们应该从所有接入点、用户以及各个角度保护他们的SaaS基础设施。
但需要注意的是并非所有的云计算都是安全的。在大众市场上,可能会有相对廉价的云存储或者云计算服务,但都缺乏较高的企业级安全措施。
对安全的需求度
如果你的客户需要部署严密的安全措施,相同的控制必须在云中进行复制。如果你的数据或者声誉因为安全而受到损害,那么通过SaaS交付节约的成本对企业来说并没有太多的价值。
当你接受提供商的云服务时,您所要考虑的不仅仅是云本身的安全保护,还要考虑网络和物理设施安全。
云安全
当你想把云基础设施进行外包时,你将会希望找到一个在网络、操作系统以及最佳实践等方面都有丰富经验的服务提供商。加密和VPN(VirtualPrivateNetwork)服务也是必须要考虑的。卖房应提供相应的咨询服务,无论是自己提供还是通过合作伙伴,都应该提供安全风险评估、入侵测试、威胁管理服务和补救措施。
似乎被忽视的领域是web应用防火墙服务。这些服务可以帮助拒绝无效的请求和保护应用程序。
开发商和建筑师都说他们的网络是安全的,因为他们使用了加密技术。当优势试图偷听时加密保护了你应用程序的数据,但他并不能阻值不必要的请求。应用防火墙可以为你的应用程序创建一个“护城河”,可以阻止正在处理的无效或者是不适当的应用程序请求,从而节省了CUP资源和记忆周期,更重要的是防止了数据泄漏。
最后,你应该了解你的服务供应商如何相应恶意攻击。你的供应商是否有一个安全的数据中心。
网络安全
网络安全应该保护你的SaaS环境中所有的虚拟接入点,您的供应商应该有察觉新出现的威胁和应对攻击的能力,在它们成为真正的威胁之前编写程序和指定策略,严格杜绝危险出现。
一些供应商同时监测在互联网上的多个客户,所以他们经常能够看到并迅速接触威胁。这对独立软件开发商来说可能是一个重要的协议,很可能几天都看不到攻击,因为它可能不是直接目标。如果外部发生威胁时,厂商可以积极相应、编写规则以防止它的出现。
物理安全
目前,虚拟化迅速扩张让很多人不在考虑物理设施的安全。但是不管你是托管方、托管服务商或是云服务提供商,最重要的是保证你存储数据的物理设施是安全的。
服务提供者应确保其物理设施的接入点是被保护的,利用找值班的看守、安全摄像机、全身扫描和其他的措施以防止违规行为的发生。
在考虑物理安全的同时,还要考虑服务提供商的灾难恢复解决方案。您的数据存储安全么?存储在什么地方?会不会被加密保护,如果将您现有的数据转移到磁带,磁带是否备份加密?
就总体而言,无论你的SaaS应用程序的数据存储在数据中心、网络中、或者是云中,安全都是最重要的。IT决策者要提高警惕,对任何事物都不能过度信任。
